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Editorial 


Babyphone, Alexa und Co., Überwachungskameras im öffentlichen Nahverkehr, an 
öffentlichen Plätzen, in Schulen und Mietshaus-Treppenhäusern sowie die Vielzahl 
weiterer Alltagshelfer sorgen heute schon dafür, dass unsere Jüngsten schon sehr früh 
an Überwachung gewöhnt werden und die Entwicklung des Gefühls für Privatheit im- 
mer schwieriger wird. Hinzu kommt der Stolz auf die Jüngsten vieler Eltern, die viele 
Momente der Kinder festhalten und mit anderen teilen möchten. 


Gerade Kinder und Jugendliche sind der ständigen Gefahr der Verletzung ihrer Pri- 
vatheit ausgesetzt. Vieles passiert unbedacht. Es ist wichtig, dass sowohl Kinder und 
Jugendliche als auch die Eltern und Erziehungsberechtigten sowie Betreuende und 
andere Menschen aus dem Umfeld der Kinder und Jugendlichen für den Schutz der 
Privatheit und die Gefahren, die die Weitergabe und Veröffentlichung von persönli- 
chen Informationen mit sich bringen, sensibilisiert werden. 


Fotos, die früher in der kommunalen Tageszeitung veröffentlicht wurden, wurden 
kaum außerhalb der Kommune wahr genommen. Durch die digitale Präsenz der Ta- 
geszeitung sind die Fotos heute weltweit abrufbar. Auch mussten früher mühevoll die 
Zeitungsarchive nach älteren Artikeln durchsucht werden, wo hingegen heute ältere 
Artikel schnell und einfach online verfügbar sind. Während bei der älteren Generation 
Fotos, Filme und Artikel aus Kindertagen in dunklen Archiven und Schubladen ver- 
schwunden und in Vergessenheit geraten sind, sind sie bei der jüngeren Generation 
jederzeit einfach und schnell weltweit verfügbar. 


In der vorliegenden DANA-Ausgabe widmen sich die Autoren dem Thema Daten- 
schutz bei Kindern und Jugendlichen und nehmen hier verschiedene Aspekte aus de- 
ren Alltagsleben genauer unter die Lupe. 


Darüber hinaus berichtet Anne Riechert aus gegebenem Anlass über die Vernetzung 
von Patientendaten im Gesundheitswesen. 


Am Ende des Magazins sind wie üblich die Datenschutz- und Techniknachrichten, 
aktuelle Rechtsprechungen und Buchbesprechungen zu finden. 


Die DANA-Ausgabe zeigt, dass esnoch viel zutun gibt. Es wird wieder viel Spannen- 
des für die winterliche Lektüre geboten. Viel Kurzweile und Erkenntnisgewinn wün- 
schen wir dabei. 
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Thilo Weichert 


Vor und nach der Geburt - aus Sicht des Datenschutzes’ 


Eine Geburt ist ein höchst körperli- 
cher, analoger Prozess. Doch sind mit 
ihr viele informationelle digitale Akti- 
vitäten verbunden. Da Hebammen, die 
Eltern sowie weitere Beteiligte in dieser 
Situation etwas anderes als Datenschutz 
im Kopf haben, dieser aber angesichts 
der Sensibilität der Vorgänge wie auch 
der dabei entstehenden Daten von ho- 
her Bedeutung ist, ist es sinnvoll, sich 
hiermit näher zu befassen. 

Geburten werden gerne als Beispiel 
dafür herangezogen, dass der Auswer- 
tung von digitalen Daten nur begrenzt 
getraut werden kann: In den 90er Jah- 
ren des letzten Jahrhunderts wurde 
festgestellt, dass zwischen den Daten 
über das Storchvorkommen und über 
Geburten eine hohe statistische Kor- 
relation bestand. So unsinnig es wäre, 
hieraus den Schluss zu ziehen, dass 
Störche die Kinder bringen, so wichtig 
ist es generell darauf hinzuweisen, dass 
Analyseergebnisse aus Big Data nicht 
zwingend auf Kausalitäten, ja nicht ein- 
mal auf gemeinsame Hintergründe hin- 
weisen, sondern zufällig sein können. ? 

Big Data kann auch valide Erkennt- 
nisse liefern, wie ein weiteres einschlä- 
giges, oft kommuniziertes Beispiel aus 
dem Jahr 2012 zeigt: Die US-Super- 
markt-Kette Target analysierte das Ein- 
kaufsverhalten seiner Kundinnen auf 
Besonderheiten bei Schwangerschaften 
hin, um frühzeitig den schwangeren 
Frauen passgenaue Verkaufsangebote 
zu unterbreiten. Darüber erfuhr ein Va- 
ter in Minnesota, dass seine minderjäh- 
rige Tochter ein Kind erwartete.’ 

Big Data dient oft legitimeren Zwe- 
cken als der Werbung: Es geht darum, 
wichtige wissenschaftliche Erkenntnis- 
se zu erlangen, etwa in der medizini- 
schen Forschung. Es ermöglicht einen 
effektiveren Ressourceneinsatz etwa in 
der Krankenhausplanung oder bei der 
Medikamentenversorgung. Big Data 
kann dabei helfen, effektiver und wirt- 
schaftlicher Aufgaben zu erfüllen. Bei 
der Qualitätssicherung medizinischer 
Versorgung kann Big Data eine wichtige 
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Hilfe sein.‘ Dies gilt auch für die Prozes- 
se vor und nach der Geburt. 


Informationsprozesse bei der 
Geburtshilfe 


Informationstechnik ist in der Ge- 
burtshilfe heute ein oft unersetzliches 
Hilfsmittel. Sie erleichtert es den Heb- 
ammen und den Entbindungspflegern 
bzw. den in diesem Bereich tätigen Ein- 
richtungen, ihren administrativen Auf- 
gaben nachzukommen. Gemäß & 301a 
SGB V sind Hebammen für Abrechnungs- 
zwecke verpflichtet, den Kassen gegen- 
über elektronisch Angaben über die von 
ihnen betreuten Frauen zu machen ein- 
schließlich der erbrachten Leistungen, 
Zeit und Dauer, zurückgelegten Wege 
und Auslagen. Diesem Zweck dienen 
Software-Angebote sowohl für den am- 
bulanten als auch für den stationären 
Bereich. Integrierbar sind Lesegeräte 
für die elektronischen Gesundheitskarte 
(8 291a SGB V). 

Diese Services beschränken sich nicht 
auf die Abrechnung mit Kassen, Priva- 
ten und Sonstigen; weitere Nutzungs- 
möglichkeiten sind z. B. die Adress- und 
Terminverwaltung, ein Kalender bis hin 
zu Werkzeugen zum Qualitätsmanage- 
ment. Die Erfassung erfolgt zumeist 
nicht nur auf stationären Rechnern, 
sondern ist auch mit mobilen Geräten 
möglich. Angeboten werden zumeist 
zudem die Wartung der Hard- und Soft- 
ware, automatisierte Plausibilitätsprü- 
fungen, die Datensicherung oder eine 
Datenspeicherung in der „Cloud“, also 
bei einem Dienstleister. Üblich sind 
Schnittstellen oder integrierte Diens- 
te z. B. für die Buchhaltung bis hin zur 
Selektion steuerrelevanter Daten oder 
die E-Mail-Kommunikation.° Angebote 
für den stationären medizinischen Be- 
reich sind integriert in die umfassenden 
Krankenhausinformationssysteme.° In 
Krankenhäusern wie im ambulanten Be- 
reich kommen zunehmend neben oder 
statt der Dokumentation auf Kartei- 
karten und Krankenakten digitalisier- 


te Patientenakten zur Anwendung, die 
über Netze weiteren Dienstleistern zum 
Abruf zur Verfügung gestellt werden 
können. Hierüber wird teilweise eine 
sektorenübergreifende Kommunikation 
zwischen ambulantem und stationärem 
Bereich realisiert. Modelle, bei denen 
selbst die Betroffenen über das Internet 
Zugriff auf ihre Akten nehmen können, 
sind in der Erprobung oder gar schon im 
Wirkbetrieb. 


Regulativer Rahmen 


Arbeitsteilung und Komplexität unse- 
res Gesundheitssystems machen im Be- 
reich der Geburtshilfe oft den Austausch 
von Daten notwendig. Hierzu gibt es 
Regeln. Diese entsprechen weitgehend 
den für Ärzte geltenden Normen und 
finden sich insbesondere im Medizin- 
und im Datenschutzrecht. Im Hinblick 
auf die Geburt gibt es weitere Vorgaben 
im Melde- oder im Sozialrecht. 

Für den Datenschutz gelten seit Mai 
2018 die Regeln der europäischen Da- 
tenschutz-Grundverordnung (DSGVO). 
Diese legt sowohl materielle als auch 
technische und organisatorische An- 
forderungen fest. Bei den materiellen 
Anforderungen kann unterschieden 
werden zwischen der Zulässigkeit der 
konkreten Verarbeitung und der Umset- 
zung der Betroffenenrechte. 

Das Datenschutzrecht gilt nur für na- 
türliche Personen, also hier für die Neu- 
geborenen. Tatsächlich kann eine in- 
formationelle Fremdbestimmung schon 
zuvor, vom Zeitpunkt der Befruchtung 
einer Eizelle an, etwa über Genomana- 
lyse, erfolgen. Entscheidungen vor der 
Geburt können die spätere Selbstbe- 
stimmung beeinträchtigen. Insofern ist 
dem Recht auf informationelle Selbst- 
bestimmung eine vorgeburtliche Vor- 
wirkung beizumessen.’ 

Der mit den Patientinnen abgeschlos- 
sene Geburtshilfe-Vertrag ist die Grund- 
lage der Datenverarbeitung. Es handelt 
sich dabei um einen Behandlungsver- 
trag im Sinne von 88 630a ff. des Bürger- 
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lichen Gesetzbuchs (BGB). Soll über die- 
sen Rahmen hinausgegangen werden, 
z. B. durch Nutzung der Daten für Wer- 
bezwecke oder durch Einschaltung von 
Dritten bei der Leistungserbringung, so 
ist in jedem Fall eine spezifische Infor- 
mation, möglicherweise sogar eine aus- 
drückliche Einwilligung erforderlich. 
Bei Angaben zur Geburtshilfe handelt es 
sich um sensitive Gesundheitsdaten, die 
gemäß Art. 9 DSGVO unter einem ver- 
stärkten Schutz stehen. Nur Daten, die 
zur Erbringung der Dienste nötig sind, 
dürfen erfasst werden und sie dürfen 
grds. nicht für weitere Zwecke genutzt 
werden. Eine solche Zweckänderung 
kann durch Gesetz erlaubt sein, so wie 
dies im SGB V zum Zweck der Abrech- 
nung mit den Krankenkassen vorgese- 
hen ist. Bei Einwilligungen zur Daten- 
weitergabe muss ein expliziter Hinweis 
erfolgen, dass Gesundheitsdaten über- 
mittelt werden. 


Vertrauensschutz 


Hebammen unterliegen als „Angehö- 
rige eines Heilberufs“ ebenso wie z. B. 
ÄrztInnen dem Patientengeheimnis, 
also einer beruflichen Schweigepflicht. 
Dieses Patientengeheimnis ist in 8 203 
Abs. 1 Nr. 1 Strafgesetzbuch (StGB) so- 
wie in den Hebammenregelungen der 
Bundesländer ausdrücklich normiert. 
Sollen Daten aus der Berufsausübung 
weitergegeben werden, so muss in der 
Einwilligung zugleich eine Entbindung 
von der Schweigepflicht liegen. Lange 
Zeit bestand Rechtsunsicherheit, ob die 
beruflich erlangten Daten im Rahmen 
der Administration der informations- 
technischen Programme und der Sys- 
temwartung den damit betrauten Tech- 
nikern zur Kenntnis gelangen dürfen. 
Durch eine Gesetzesänderung ist inso- 
fern 2017 Rechtssicherheit hergestellt 
worden: Soweit erforderlich, dürfen 
diese, ebenso wie sonstige berufliche 
Gehilfen (Beschäftigte), die Daten der 
Gebärenden sowie sonstiger Personen 
aus deren Umfeld als „mitwirkende Per- 
sonen” zur Kenntnis nehmen. Zugleich 
werden sie aber selbst gesetzlich zur 
Verschwiegenheit verpflichtet (8 203 
Abs. 3,4 StGB). 

Bei der Geburtshilfe ist eine zentrale 
Voraussetzung für ein ungestörtes Ver- 
trauensverhältnis zwischen Hebamme, 
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weiteren Helfenden einerseits und der 
(werdenden) Mutter und ihrem persön- 
lichen Umfeld andererseits die Beach- 
tung der Schweigepflicht. Schwangere 
und junge Mütter sind in einer körper- 
lichen und psychologischen Ausnahme- 
situation und deshalb besonders ver- 
letzbar. Verletzungen, auch wenn diese 
über Datenverarbeitungen bzw. über di- 
gitale Prozesse erfolgen, sind unbedingt 
zu vermeiden. 

Zur Beschränkung der Angriffsmög- 
lichkeiten auf die Vertraulichkeit muss 
elektronische Kommunikation grds. 
verschlüsselt erfolgen. Hierfür bietet 
sich im Bereich der E-Mail-Kommunika- 
tion die Verwendung von „Pretty Good 
Privacy” (PGP) an. Die Speicherung von 
Daten - sei esin der Cloud oder auf dem 
eigenen Rechner - sollte mit einem Zu- 
gangsschutz und einer Verschlüsselung 
abgesichert werden. Die technischen 
Möglichkeiten hierfür sind von den 
Software- und Dienste-Anbietern be- 
reitzustellen. Um dies nachzuweisen, 
berufen sich einige Anbieter auf exter- 
ne Zertifizierungen. Dabei ist Vorsicht 
angesagt: Der Wert von Zertifikaten ist 
unterschiedlich und oft gering, auch 
wenn diese z. B. von TÜV-Unternehmen 
stammen. Staatlich anerkannt sind bis- 
her nur die Zertifikate des Bundesamtes 
für die Sicherheit in der Informations- 
technik (BSI). Künftig soll es auch eine 
unabhängige und transparente Daten- 
schutz-Zertifizierung gemäß der DSGVO 
geben (Art. 42, 43 DSGVO). 

Die Schweigepflicht hat Grenzen. Stel- 
len Hebammen, ÄrztInnen oder sons- 
tiges medizinisches Personal fest, dass 
für das neugeborene Kind eine konkre- 
te Gefahr für Leib und Leben besteht, 
so sind sie berechtigt und verpflichtet, 
das Jugendamt zu informieren.® Dort 
können dann gemäß 8 8a SGB VII die 
weiteren erforderlichen Maßnahmen 
ergriffen werden. Auch bei einer kon- 
kreten Gefährdung für die Leibesfrucht 
oder die Mutter können von den medi- 
zinischen Hilfspersonen die (informati- 
onellen) Maßnahmen ergriffen werden, 
die zur Abwehr dieser Gefahr erforder- 
lich sind. 

Kein Problem mit der Vertraulichkeit 
bzw. dem Datenschutz besteht, wenn 
Daten vor ihrer Weitergabe wirksam 
anonymisiert werden. Wann davon ge- 
sprochen werden kann, ist aber höchst 


streitig. So ist es z. B. bei Softwarean- 
bietern im ambulanten Arztbereich weit 
verbreitet, dass Kostenabschläge für 
die Praxen eingeräumt werden, wenn 
pseudonymisierte Daten über Behand- 
lung und Medikation aus den Systemen 
abgezogen werden dürfen. Diese Daten 
werden dann an medizinische Informa- 
tionsdienstleister, an die Pharmaindus- 
trie oder an Forschungseinrichtungen 
weiterverkauft. Dies ist fragwürdig, da 
von den weitergegebenen Einzeldaten- 
sätzen mit etwas Zusatzwissen wieder 
auf einzelne Personen zurückgeschlos- 
sen werden kann. 


Dokumentation und Kommunikation 


Ein zentraler Aspekt der Datenverar- 
beitung bei der Geburtshilfe ist die Do- 
kumentationspflicht der Hebamme bzw. 
der tätigen Einrichtung. Ebenso wie im 
ärztlichen Bereich sind die Betreuungs- 
daten über 10 Jahre hinweg zwingend 
aufzubewahren, um im Nachhinein 
die Versorgung der Mutter vollständig 
nachvollziehen zu können und im Kon- 
fliktfall als Beweismittel zur Verfügung 
zu stehen (8 630f BGB). Falsch erfasste 
Daten dürfen nicht gelöscht, sondern 
müssen durch eine ergänzende Korrek- 
tur bereinigt werden. Mit dieser medi- 
zinrechtlichen Dokumentationspflicht 
korrespondiert der datenschutzrecht- 
liche Grundsatz der Datenrichtigkeit 
(Art. 5 Abs. 1lit. dDSGVO). 

Bei Hebammen besteht oft Unsicher- 
heit, ob über die 10 Jahre hinausgehend 
eine Dokumentation erfolgen darf oder 
gar muss. Tatsächlich besteht nach dem 
Zivilrecht in besonderen Ausnahme- 
fällen die Möglichkeit, dass auch noch 
danach, bis zu 30 Jahre später, Scha- 
denersatzforderungen gestellt werden 
(8 199 Abs. 2 BGB). Die normale Ver- 
jährungsfrist beträgt nach $ 195 BGB 
jedoch 3 Jahre. Die Reklamation von 
Behandlungsfehlern nach mehr als 10 
Jahren dürfte die absolute Ausnahme 
darstellen. Danach 10 Jahren die Doku- 
mentation vernichtet werden darf, kann 
einer Hebamme wegen gelöschter Daten 
danach kein Vorwurf gemacht werden. 

Die Dokumentation der sensitiven Da- 
ten muss vertraulich und sicher erfol- 
gen (Art. 32 DSGVO). 

Von der Datenverarbeitung Betroffe- 
ne, also im Bereich der Geburtshilfe vor- 
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rangig die Mütter, haben Rechte. Hierzu 
gehört ein Anspruch auf umfassende 
Information über die erfolgenden Ver- 
arbeitungsprozesse (Art. 12, 13 DSGVO, 
vgl. & 630e BGB). Diese Unterrichtung 
muss ungefragt schon bei der Datener- 
hebung erfolgen. Auf Anfrage hin haben 
die Betroffenen zudem einen umfassen- 
den Anspruch auf Datenauskunft, also 
auf Information über alles, was zu ihrer 
Person gespeichert ist, für welche Zwe- 
cke und an wen Daten weitergegeben 
wurden bzw. werden (Art. 15 DSGVO, 
8 630g BGB). 

Eigentlich hätte schon im Jahr 2006 
die elektronische Gesundheitskarte 
(eGK) eingeführt sein sollen, mit der 
die Kommunikation medizinischer 
Dienstleister über eine Telematik-Inf- 
rastruktur (TI) ermöglicht wird. Damit 
soll die Identifizierung der Patientin- 
nen bei den Leistungserbringern sowie 
der Datenaustausch zwischen diesen 
über gesundheitsrelevante Umstände 
erleichtert werden. Konflikte zwischen 
den Organisationen im TI-Organisati- 
onsverbund „Gematik“ sowie leider oft 
wenig qualifizierte Kritik insbesondere 
aus der Ärzteschaft führten dazu, dass 
auch im Jahr 2019 noch keine umfas- 
sende Einführung erfolgt ist und wichti- 
ge Funktionen fehlen. Bei der Kritik an 
der eGK wurde oft mit dem Datenschutz 
argumentiert, obwohl sowohl die tech- 
nische Gestaltung der TI als auch die 
erlassenen gesetzlichen Regelungen 
(8 291aSGB V) einen optimalen Vertrau- 
lichkeitsschutz gewährleisten sollen. 
Ob dies aber auch in die Realität umge- 
setzt wird, bleibt unklar. Dies bedeutet, 
dass beim weiteren Aufbau der TI und 
der Einbeziehung der Hebammen darauf 
geachtet werden muss, dass hierüber 
Datenschutz und Datensicherheit ge- 
wahrt bleiben. 

Aus informationeller Sicht völlig neue 
Perspektiven auf die Geburt eröffnen 
sich mit der Entwicklung der Genom- 
analyse: Sie ermöglicht im Rahmen 
der Präimplantationsdiagnostik die 
Auswahl genetisch gesunder Spermien 
und Eizellen, eröffnet grds. aber auch 
die Möglichkeiten jenseits der Gesund- 
heit die genetische Selektion nach 
gewünschten Kindes-Eigenschaften.’ 
Während der Schwangerschaft sind für 
medizinische Untersuchungen nicht 
mehr die nicht ganz ungefährlichen 
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Fruchtwasseruntersuchungen nötig, 
um bestimmte Risiken oder Eigenschaf- 
ten auszuschließen. Über die Untersu- 
chung des Mutterblutes eröffnen sich 
weitgehende pränataldiagnostische 
Perspektiven. Diese können in spezifi- 
sche therapeutische Maßnahmen ein- 
fließen, aber auch in eine Entscheidung 
über einen Schwangerschaftsabbruch. 
Am 19.09.2019 beschloss der Gemein- 
same Bundesausschuss, dass unter en- 
gen Voraussetzungen derartige Unter- 
suchungen auf Down-Syndrom von den 
gesetzlichen Krankenkassen bezahlt 
werden." 


Geburt als administrativer Vorgang 


Schwangerschaft und Geburt führen 
zu einem neuen kleinen Erdenmen- 
schen. Damit verbunden sind eini- 
ge - heute weitgehend digitalisierte 
- Verwaltungsvorgänge. Ohne Iden- 
tifizierung und Registrierung ist ein 
Kind für die Verwaltung nicht existent. 
Schon mit der Schwangerschaft erhält 
die werdende Mutter einen Mutterpass. 
Die zuständige Krankenkasse wird über 
den voraussichtlichen Geburtstermin 
informiert, damit Mutterschaftsgeld 
und evtl. eine Haushaltshilfe gewährt 
werden kann. Der Arbeitgeber wird in- 
formiert, dem während der Schwanger- 
schaft Schutzpflichten auferlegt sind. 
Er darf auf Anfrage hin den Betriebsrat 
informieren.'! Erwerbslose Schwange- 
re können die Agentur die Agentur für 
Arbeit, das Jobcenter oder das Sozial- 
amt informieren, um eine Erhöhung des 
Leistungssatzes zu erreichen. 

Eine Spezialität ist die anonyme bzw. 
„vertrauliche“ Geburt, die seit Anfang 
2014 gesetzlich zugelassen ist.'? Deren 
Ziel ist es, Müttern, die sich in einer 
Notlage befinden, die Möglichkeit zu 
geben, ein gesundes Kind zu gebären, 
ohne dass dadurch die Notlage ver- 
schärft wird, also um sowohl Kind wie 
Mutter zu schützen. Der Mutter wird 
gesetzlich für 16 Jahre Anonymität 
zugesichert. Anonyme Geburten oder 
die anonyme Abgabe von Neugebore- 
nen (über die sog. Babyklappe) führen 
dazu, dass die informationelle Verbin- 
dung zwischen Mutter und Kind lang- 
fristig gekappt wird. Dessen ungeachtet 
erkennt unser Rechtssystem an, dass 
jeder Mensch die Möglichkeit haben 


muss, seine biologischen Wurzeln, also 
Mutter und Vater, zu kennen." 

Die Geburt selbst muss binnen einer 
Woche dem Standesamt am Geburtsort 
gemeldet werden. Diese Aufgabe über- 
nimmt die Einrichtung, die Geburtshil- 
fe leistet. Das Standesamt informiert 
das Bundeszentralamt für Steuern, das 
dem Neugeborenen eine grundsätz- 
lich lebenslang gültige Steuer-Iden- 
tifikationsnummer vergibt (ID). Eine 
weitere Meldung ergeht an die zustän- 
dige kommunale Meldebehörde, die 
das Neugeborene registriert und eine 
Meldung an das Finanzamt vornimmt. 
Für Tot- bzw. Fehlgeburten gibt es ge- 
setzlich vorgegebene Meldewege, bei 
denen das Standesamt im Mittelpunkt 
steht. 

Bei unverheirateten Eltern wird ver- 
sucht, die Vaterschaft festzustellen, 
was mit Einverständnis der Mutter üb- 
licherweise bei dem Jugendamt, dem 
Amtsgericht oder dem Standesamt er- 
folgt. Dies dient u. a. der Feststellung 
der Unterhaltsverpflichtung. Mit der Ge- 
burt entsteht ein Anspruch auf Kinder- 
geld, das in der Kommunalverwaltung 
des Wohnsitzes zu beantragen ist, sowie 
evtl. auf weitere Hilfen. Bei erwerbslo- 
sen Müttern ist zudem die Einschaltung 
der Deutschen Rentenversicherung re- 
levant.'* 

Das Neugeborene durchläuft direkt 
nach der Geburt bis zum 6. Lebens- 
jahr mehrere ärztliche Vorsorgeunter- 
suchungen (U1-U9). Ziel ist es, eine 
gesunde Entwicklung des Kindes si- 
cherzustellen und insbesondere direkt 
nach der Geburt erkenn- und behebbare 
Defizite frühzeitig zu diagnostizieren. 
Als weiterer Zweck wird angegeben, 
Hinweise für Kindermisshandlungen 
zu erhalten und hiergegen vorgehen zu 
können. Gesetzlich versicherte Kinder 
haben gemäß 8 26 SGB V einen Rechts- 
anspruch auf Vorsorge. In den meisten 
Bundesländern soll durch Datenüber- 
mittlungen der Meldebehörden und der 
Kinder- und Jugendärzte die Teilnahme 
an den Vorsorgeuntersuchungen sicher- 
gestellt werden. Eine Pflicht zur Teil- 
nahme an den Untersuchungen besteht 
jedoch nicht.”® 

Meldeämter, Gesundheitsämter, So- 
zialleistungsträger, weitere öffentliche 
Stellen sowie bestimmte private Stellen 
wie z. B. Arbeitgeber sind verpflichtet, 
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Daten über die Menschen, mit denen 
sie zu tun haben, den statistischen 
Landesämtern bzw. dem Statistischen 
Bundesamt zu melden. Regelmäßig 
erfolgt zuvor eine Zusammenführung 
zu Gruppeninformationen; teilweise 
werden Einzeldatensätze gemeldet, die 
dann aber pseudonymisiert werden; 
eine Rückverfolgung zur konkreten 
Person soll ausgeschlossen werden und 
ist unzulässig. Zweck der Statistik ist 
es ausschließlich, aggregierte gesell- 
schaftlich relevante Daten zu liefern. 
Mit diesen soll es politischen Entschei- 
dungsträgern erleichtert werden, Pla- 
nungen vorzunehmen und Strategien 
zu entwickeln.'° 


Sekundäre Zwecke 


Daten aus der Zeit der Schwanger- 
schaft sowie aus der frühkindlichen 
Entwicklung sind Gegenstand von For- 
schungsprojekten insbesondere im me- 
dizinischen Bereich. Insofern besteht 
gemäß Art. 5 Abs. 1 lit. b DSGVO ein 
Recht auf privilegierte Nutzung von 
ursprünglich für andere Zwecke erho- 
benen Daten. Voraussetzung ist aber, 
dass bei der Verarbeitung und Auswer- 
tung der Daten geeignete Garantien für 
den Schutz der Daten getroffen werden 
(Art. 89 Abs. 1 DSGVO). Solche Garanti- 
en bestehen in einer frühestmöglichen 
Anonymisierung bzw. Pseudonymisie- 
rung, in Anzeige- und Genehmigungs- 
pflichten, in einer technisch-organisa- 
torischen und räumlichen Abschottung 
gegenüber sonstigen Zwecken und in 
einer strengen Zweckbindung.”” 

„Früher war Schwangerschaft ein Zu- 
stand - heute ein Projekt“. Mit dieser 
Überschrift wurde eine Studie vorge- 
stellt, in der die Marketingchancen bei 
werdenden Müttern sowie deren Kommu- 
nikations- und Kaufverhalten analysiert 
wurden. Danach hatte diese Gruppe von 
Konsumentinnen schon 2011 ein jährli- 
ches Umsatzpotenzial von 5 Mrd. Euro. 
Die Studie kam zu dem Ergebnis, dass 
Konsum-Entscheidungen von Schwan- 
geren zu langfristigen Bindungen mit 
Marken und letztlich auch zu einer tief- 
greifenden Veränderung ihres Kaufver- 
haltens führen können.’ Darin sehen 
Marketingleute große Chancen, nicht 
nur für die Hersteller von Umstands- 
mode und klassischen Babyprodukten, 
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sondern z. B. auch für die Kfz-Industrie, 
die jungen Familien einen Familien-Van 
verkaufen möchte. Umwelt- und Ge- 
sundheitsaspekte spielen für diese Wer- 
beadressaten eine größere Rolle. Fazit: 
„Schwangere und frischgebackene Müt- 
ter sind eine attraktive Zielgruppe.” Die- 
se will erreicht werden. Ein Zugang er- 
folgt über die Geburtskliniken, in denen 
mit Willkommenspaketen Nützliches mit 
Werbebotschaften verbunden wird. Eine 
Datenweitergabe von der Geburtshilfe an 
Werber wäre unzulässig, wenn nicht die 
Betroffenen ihre ausdrückliche Einwilli- 
gung erteilt haben."? 

Für große Internetunternehmen, 
etwa Google und Facebook, die gemein- 
sam im globalen Online-Werbebereich 
inzwischen einen Werbeanteil von 80% 
erreicht haben, gibt es einfachere Wege, 
um an sensible Daten über Schwange- 
re und junge Mütter zu gelangen. Sie 
analysieren das Kommunikations- und 
Internetnutzungsverhalten z. B. in so- 
zialen Medien und zeigen gegen Entgelt 
personalisierte Werbung an. Was bei Tar- 
get im Jahr 2012 noch öffentliche Auf- 
merksamkeit und Befremden auslöste, 
erfolgt heute systematisch außerhalb der 
öffentlichen Wahrnehmung beim Online- 
Marketing unter Auswertung möglichst 
vieler im Internet gesammelter Daten - 
aus Kommunikations- und Suchprofilen, 
Stichworten, Messenger-Botschaften, 
„Likes“ oder Seitenaufrufen. 

Oft sind es die Eltern, die durch unbe- 
dachtes Internet-Posting ihren Kindern 
von Geburt an das Leben schwer machen. 
Zwar haben die Eltern das Sorgerecht 
über ihre Kinder und können somit auch 
über die Verwendung der Daten, etwa in 
Form von Bildern, teilweise aber auch ei- 
genen Webseiten, auf denen die gesamte 
Entwicklung für die Welt dokumentiert 
wird, bestimmen (8 1626 BGB). Dies än- 
dert aber nichts daran, dass die Kinder 
eigenständige Rechtssubjekte sind; den 
Eltern sind Verletzungen des Kindes- 
wohls untersagt. Diese Verletzungen 
können heute digital erfolgen und die 
Startbedingungen im Kindergarten, in 
der Schule und in anderen Lebensberei- 
chen massiv beeinträchtigen. 


Big Data? 


Die Geburt führt zu informationellen 
Prozessen. Dabei kommt es zu Daten- 


speicherungen, die den Menschen das 
gesamte Leben begleiten können und 
unterschiedlichsten Zwecken dienen. 
Sie sind zunächst administrativer Art 
und verfolgen vorrangig finanzielle 
und gesundheitliche Ziele. Eine Zu- 
sammenführung der Daten erfolgt bis- 
her nicht. Das, was Big Data ausmacht, 
- die zweckübergreifende Verbindung 
der Datenbestände mit dem Ziel der 
Analyse für neue Fragestellungen - ist 
im Geburtsbereich noch wenig ausge- 
prägt. Einer solchen Analyse stehen 
- zumindest in einem gewissen Maße 
- der Datenschutz bzw. die berufliche 
Schweigepflicht der medizinischen 
Dienste entgegen (vgl. Art. 22 Abs. 4 
DSGVO). 

Die Interessen an den Daten sind 
aber groß und nehmen zu: Legitim sind 
Forschungsinteressen, wenn damit 
wissenschaftliche Fragen beantwortet 
werden sollen, an deren Beantwortung 
ein öffentliches Interesse besteht. Le- 
gitim sind auch Interessen zur Wah- 
rung des Kindeswohls und zum Schutz 
der Familie. Solche Datenauswertun- 
gen müssen aber in jedem Fall verhält- 
nismäßig sein und dürfen nicht über- 
mäßig in die Rechte von Mutter und 
Kind eingreifen. 

Der Umstand, dass insbesondere 
durch informationstechnische Un- 
ternehmen Daten um die Geburt über 
Kind und Mutter erhoben werden, gibt 
Anlass zur Beunruhigung. Die digitale 
Durchdringung aller Lebensbereiche 
im Interesse einer kommerziellen Nut- 
zung ist auch hier angekommen. Bei 
der Werbung gibt es einen fließenden 
Übergang von sinnvollen gezielten 
und erwünschten Angeboten zu Mani- 
pulation und Ausbeutung. Mutter und 
Kind dürfen in einer Lebenssituation, 
in der beide besonders verletzlich und 
schutzbedürftig sind, nicht zum Objekt 
von Geschäftemachern werden. 

Darum, dass nicht schon zum Le- 
bensbeginn falsche informationelle 
Weichen gestellt werden, müssen sich 
alle kümmern: Eltern, die ihrer Für- 
sorge nachkommen und ihre Verbrau- 
cherrechte wahrnehmen, die für den 
Datenschutz zuständigen Behörden, 
nicht zuletzt auch die Hebammen und 
Geburtseinrichtungen sind aufgefor- 
dert, illegitime Datenanforderungen 
zurückzuweisen. 
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Datenschutz im Kindergarten 


Vorwort 


Träger von Kindergärten und Kin- 
dertagesstätten sind üblicherweise 
entweder Kirchen, eingetragene Ver- 
eine, Stiftungen oder Kommunen. Je 
nach Träger sind hier unterschied- 
liche Gesetze und Vorschriften zum 
Thema Datenschutz zu beachten. Ist 
die Einrichtung in kirchlicher Hand, 
so gilt das entsprechende Kirchen- 
recht. Einrichtungen in staatlicher 
Hand sind öffentliche Stellen, wäh- 
rend Einrichtungen, die von Vereinen 
oder Stiftungen bereitgestellt werden, 
nicht-öffentliche Stellen sind. Der Un- 
terschied bezogen auf die Einhaltung 
der Gesetze und Vorschriften rund um 
den Datenschutz ist hier allerdings 
nicht allzu groß. 


Betroffene lassen sich in der Regel in 
sieben Kategorien einteilen: 
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1. Beschäftigte 

2. Kinder 

3. Eltern 

4. Den Eltern nahestehende Personen 

5. Auftragnehmende 

6. Personen, die dem Kindergarten Geld 
oder Sachen spenden 

7. Personen, die die Internet- 
präsentation besuchen 


Je nach Träger kann der Kindergar- 
ten oder die Kindertagesstätte eine 
dem Träger untergliederte, eigenstän- 
dige juristische Person sein. Hier ist 
in jedem Fall vorab die Verantwortung 
zum Thema Datenschutz zu klären und 
vertraglich festzuhalten. Arbeitet die 
Einrichtung im Auftrag des Trägers 
oder verarbeitet der Träger die für die 
Einrichtung anfallenden personenbe- 
zogenen Daten im Auftrag? Oder tragen 
beide die Verantwortung gemeinsam? 
Sollte der Träger die Verantwortung mit 
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der Einrichtung gemeinsam tragen, sind 
die Vorschriften der Datenschutzgrund- 
verordnung (DSGVO) für gemeinsame 
Verantwortliche umzusetzen. 


Beschäftigte 


Selbstverständlich gelten die Geset- 
ze und Vorschriften zum Thema Daten- 
schutz auch für die Beschäftigten von 
Kinderbetreuungseinrichtungen. Be- 
schäftigte haben entweder einen Anstel- 
lungsvertrag oder eine Beauftragung für 
eine ehrenamtliche Tätigkeit im Namen 
der Einrichtung oder des Trägers. In der 
schriftlich verfassten Beauftragung soll- 
te nicht nur die monetäre Aufwandsent- 
schädigung sondern auch die Tätigkeit 
genau beschrieben sein. Ehrenamtlich 
Beschäftigte, die nicht zeitgleich auch 
Mitglieder der Verantwortlichen sind, 
gelten als Dritte. Hier ist ein Auftragsver- 
arbeitervertrag abzuschließen. 
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Auch in Kinderbetreuungseinrichtun- 
gen gilt, dass zu Beschäftigten nur perso- 
nenbezogene Informationen erfasst wer- 
den dürfen, die unter Art. 6 Abs. 1 it. c 
und d DSGVO fallen. Daten, die zur Er- 
füllung einer rechtlichen Verpflichtung 
erforderlich sind (lit. c) oder die die le- 
benswichtigen Interessen der betroffe- 
nen Person oder anderer natürlichen Per- 
sonen schützen (lit. d). Unter den Schutz 
von Leib und Leben fallen gesundheitli- 
che Angaben, die unabdingbar sind, 
um die Kinder vor ansteckenden Krank- 
heiten zu schützen. Darüber hinaus ist 
natürlich auch erlaubt, Informationen 
nach Art. 6 Abs. 1 lit. b zu erfassen und 
zu verarbeiten, sofern es im Anstellungs- 
beziehungsweise Beauftragtenvertrag 
entsprechend vereinbart wurde. Üblich 
ist heutzutage, dass im Arbeitsvertrag 
eine bargeldlose Zahlung des Gehaltes 
oder der Aufwandsentschädigung ver- 
einbart wird. In dem Fall ist durch Art. 6 
Abs. 1 lit. b DSGVO die Erfassung, Verar- 
beitung und Weiterleitung der Kontoin- 
formationen erlaubt. 

Zu abhängig Beschäftigten, also Be- 
schäftigten, die einen Anstellungsver- 
trag haben, können keine Informationen 
erfasst und verarbeitet werden, die unter 
Art. 6 Abs. 1 lit. aDSGVO (Einwilligung) 
fallen, da in einem Abhängigkeitsver- 
hältnis die Freiwilligkeit nicht gegeben 
ist. Für ehrenamtlich Beschäftigte sieht 
das anders aus. Da sie in keinem Abhän- 
gigkeitsverhältnis zur Einrichtung bezie- 
hungsweise dem Träger stehen, können 
hier durchaus freiwillig gegebene Infor- 
mationen erfasst und verarbeitet wer- 
den. Aber auch hier ist die Freiwilligkeit 
genaustens unter die Lupe zu nehmen. 
Eine Einwilligung, die unter dem Druck 
entstanden ist, dass alle Anderen auch 
einwilligen und sich die betroffene Per- 
son bei Nicht-Einwilligung sozial ausge- 
grenzt fühlt, ist nicht wirksam. 

Die Gesetzgebung sieht bei Beschäf- 
tigten nicht vor, dass Arbeitgebende 
Kenntnis von unmittelbaren Kontakt- 
daten, wie private Telefonnummer oder 
E-Mail-Adressen, der Beschäftigten 
haben. Das ist im Bereich der Kinder- 
betreuungseinrichtung auch wichtig 
für ehrenamtlich Beschäftigte, denn 
spätestens, wenn die Verantwortlichen 
auf die Idee kommen, die Telefonnum- 
mern den Eltern weiterzugeben, ist das 
Risiko, dass die Beschäftigten in ihrer 
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Freizeit belästigt werden, sehr hoch. 
Aber auch, wenn die Verantwortliche 
derartige Intentionen nicht verfolgt, ist 
auch bei Kinderbetreuungseinrichtun- 
gen genau wie bei allen anderen Arbeit- 
gebenden das Risiko der Verletzung der 
Frei- und Ruhezeiten durch Anrufe auf 
privaten Telefonen durch Vertretende 
der Verantwortlichen nicht zu unter- 
schätzen. Auch durch die Versendung 
geschäftlicher E-Mails an private E- 
Mail-Adressen können sich Betroffene 
belästigt und in ihrer Frei-, Ruhe- und 
vor allem Erholungszeit gestört fühlen. 
Wenn Beschäftigte telefonisch oder per 
E-Mail erreichbar sein sollen, ist über 
die Bereitstellung einer E-Mail-Adresse 
beziehungsweise einer, in der Freizeit 
abstellbaren, Telefonnummer nachzu- 
denken. 

Nicht nur in Kinderbetreuungsein- 
richtungen, sondern auch bei anderen 
Vereinen und gemeinnützigen Einrich- 
tungen ist der Trend, dass Beschäftigte 
ihre eigenen, privaten Smartphones, 
Laptops und Computer nutzen - Bring 
Your Own Device (BYOD). Die Gefahren 
liegen hier auf der Hand. Es müssen 
Technische und Organisatorische Maß- 
nahmen erstellt werden, die einen ver- 
trauensvollen und sicheren Umgang mit 
personenbezogenen Daten garantieren. 
Die Beschäftigten sind Experten in ih- 
ren jeweiligen Tätigkeiten, aber ihnen 
fehlt es häufig an den erforderlichen IT- 
Kenntnissen, ihre privaten Geräte ent- 
sprechend zu gestalten. 

Die Einstellung oder externe Beauf- 
tragung einer technischen Fachkraft, 
die sich seitens der Einrichtung bezie- 
hungsweise des Trägers um elektroni- 
sche Geräte, wie Smartphones, Laptops, 
Arbeitsplatzrechner, Server und so wei- 
ter sowie die Umsetzung technischer 
Maßnahmen kümmert, ist unabding- 
bar. Hier geht es letztendlich nicht nur 
um Kinderdaten, sondern häufig auch 
um gesundheitliche und religiöse In- 
formationen von Kindern aber auch Fa- 
milien. Die Information, dass die kleine 
Anna Jüdin und laktoseintolerant ist, 
ist für die Betreuung beziehungsweise 
für die Speisezubereitung wichtig zu 
wissen, hat aber dennoch nichts auf 
dem privaten Laptop der Erziehenden 
beziehungsweise der Köche oder gar in 
Google Docs oder bei WhatsApp verloren 
und sollte auch nicht einfach so unver- 


schlüsselt über die Internetverbindung 
eines privaten Haushaltes kommuni- 
ziert werden. Organisatorische Maß- 
nahmen wie Betriebsanweisungen sind 
hier zwingend erforderlich. 

Personalakten und Akten von ehren- 
amtlich Beauftragten sollten auch in 
Kinderbetreuungseinrichtungen nicht 
offen herumliegen. Sie sind unter Ver- 
schluss zu halten. Inwieweit die Leitung 
der Einrichtung die Befugnis der Ein- 
sicht der Personalakte hat, hängt vom 
Vertrag und der juristischen Konstella- 
tion der Einrichtung zum Träger ab. 

Schichtpläne, aus denen die Identität 
der einzelnen Beschäftigten erkennbar 
ist, sollten nicht in Fluren hängen, zu 
denen alle Eltern Zutritt haben. Das gilt 
auch für die Urlaubsplanung und Krank- 
meldungen von Beschäftigten. 

Stempeluhren, die zur Festhaltung 
der Anwesenheitszeiten von Beschäftig- 
ten den Fingerabdruck der Beschäftig- 
ten scannen, sind zu überdenken. Hier 
lassen sich mildere Mittel finden, bei 
denen nicht der Fingerabdruck gespei- 
chert wird. 

Ehrenamtlich Beschäftigte sind, je 
nach Zugehörigkeit zur Einrichtung be- 
ziehungsweise zum Träger, als Beschäf- 
tigte oder Dritte zu sehen. Organisatori- 
sche Maßnahmen, wie die Verpflichtung 
auf Vertraulichkeit, sollten auch von 
Ehrenamtlern unterschrieben werden. 
Auch sollte sichergestellt werden, dass 
Ehrenamtler nachweislich nicht nur 
Kenntnis von allen Betriebsanweisun- 
gen haben, sondern sich auch verpflich- 
ten, sich an die Anweisungen zu halten. 


Kinder 


Natürlich sollte die Betreuungsein- 
richtung nicht nur den Namen des Kin- 
des wissen, sondern auch das Alter be- 
ziehungsweise das Geburtsdatum, wo 
das Kind wohnt, wer die Eltern sind und 
was sonst an Informationen für eine 
ordnungsgemäße Betreuung zwingend 
erforderlich ist. Das sind Informatio- 
nen, die aus dem Betreuungsvertrag 
hervorgehen sollten. Die Rechtsgrund- 
lage liefert Art. 6 Abs. 1 lit. b DSGVO 
(Vertragserfüllung). Da die zu betreu- 
enden Kinder teilweise in einem Alter 
sind, in dem sie sich noch nicht selbst 
durch Sprache identifizieren können, 
ist es hier durchaus sinnvoll, dass auch 
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die Erfassung und regelmäßige Aktuali- 
sierung von Fotos des Kindes Vertrags- 
bestandteil ist, damit die Erziehenden 
und Betreuenden die Kinder identifizie- 
ren können. 

Darüber hinaus sind je nach Betreu- 
ungsumfang auch noch Informationen 
entsprechend Art. 6 Abs. 1 lit. d (Leib 
und Leben) erforderlich, wie Infor- 
mationen zur Gabe von Medikamen- 
ten, körperliche Einschränkungen wie 
Seh- oder Hörschwächen, Allergien, 
Schwimmerfahrung und so weiter. Auch 
die Angabe von unmittelbaren Notfall- 
kontaktdaten von drei priorisierten 
Personen könnte mit lit. d begründet 
werden, sofern es nicht schon mit lit. c 
(Vertragserfüllung) begründet wurde. 

Die Kinder in Kindergärten und Kin- 
dertagesstätten sind in der Regel unter 
sechs Jahre alt. Daher gestaltet sich das 
mit der Einwilligung etwas schwieriger. 
Es ist die Frage, was für Informationen 
werden von Kindern erhoben, die einer 
Einwilligung bedürfen. Das sind in der 
Regel Foto- und Videoaufnahmen. Nein 
sollte immer Nein bleiben. Egal was die 
Eltern sagen, wenn das Kind Nein sagt, 
ist es Nein. Wenn das Kind ‚Ja‘ sagt, 
ist die Einwilligung aller Erziehungs- 
berechtigten erforderlich. Die Einrich- 
tungen werden hier gerne zum Spielball 
in Scheidungskriegen. Ein Elternteil 
stimmt zu, das andere fühlt sich über- 
gangen und zeigt die Einrichtung we- 
gen Nicht-Einholung der Einwilligung 
an. Solange keine schriftliche Vollmacht 
des anderen Erziehungsberechtigten 
vorliegt, dass der eine Erziehungsbe- 
rechtigte allein entscheiden darf, ist 
es ratsam, Einwilligung von allen Erzie- 
hungsberechtigten einzuholen. Anders 
als für medizinische Untersuchungen, 
gibt es hier noch keine höchstrichter- 
lichen Urteile, die besagen, dass es in 
Ordnung ist, wenn nur ein Erziehungs- 
berechtigter zustimmt. 

Dürfen die Erziehenden mit den Kin- 
dern in den Gruppen Adressen üben? 
Die Beschwerde der Eltern ist hier, dass 
die Kinder auf diese Weise die Adressen 
der anderen Kinder erfahren. Hier gilt 
es natürlich abzuwägen, wie wichtig es 
ist, dass das Kind seine eigene Adres- 
se lernt, damit es im Notfall auch nach 
Hause findet. Die Kinder tauschen un- 
tereinander noch viel sensiblere Daten 
aus. So erzählt der kleine Paul dem klei- 


182 


nen Simon stolz, dass er laktoseintole- 
rantist, weiler stolzist, dass er dasWort 
endlich behalten hat. Die Kinder, die 
tagtäglich miteinander in der Gruppe 
sind, bekommen auch mit, welches Kind 
eine Sehschwäche hat, welches Kind 
koscher isst, welches vor zwei Wochen 
Windpocken hatte und so weiter. Es 
sollte hier Aufgabe der Eltern sein, den 
eigenen Kindern beizubringen, dass sie 
nicht in der ganzen Nachbarschaft her- 
umerzählen, dass Klara Scharlach hatte. 
Aber natürlich sollte es auch Aufgabe 
der Erziehenden sein, die Kinder für den 
Respekt der Privatsphäre und Privatheit 
zu sensibilisieren. 

Das Schöne an Kindergärten ist, dass 
in der Regel in den Fluren nicht die Na- 
men der Kinder an Jackenhaken und 
Ablagen hängen, sondern Bilder. Dass 
der Hase für Paul Müller und die Maus 
für Eva Meier steht, ist für Besuchende 
nicht erkennbar. Das könnte als eine 
Form der Pseudonymisierung gesehen 
werden, die schon seit über fünfzig Jah- 
ren existiert. 

Die Einrichtungen sollten sich über- 
legen, ob Köche oder das externe Ca- 
tering unbedingt wissen müssen, dass 
Anke Jansen laktoseintolerant ist, Maja 
Müller koscher isst, Frank Paulsen eine 
Nussallergie hat und Otto Pieper unter 
Zöliakie leidet oder ob es reicht, wenn 
die Betreuenden diese Informationen 
kennen und nur an die Küche weiter- 
gegeben wird: heute 3x laktosefrei, 2x 
Nussallergie, 1x Zöliakie und 2x ko- 
scher. Ist es hier wirklich zwingend er- 
forderlich, die Identität der Kinder wei- 
terzugeben? Zumal hier nicht nur die 
Identität weitergegeben wird, sondern 
auch die Information, wann das Kind 
anwesend ist. Die Küche kann bei An- 
gabe der Namen einfach herausfinden, 
welche Kinder an welchen Tagen nicht 
in der Einrichtung sind. 


Foto- und Videoverbot 


Zu Fotos von Kindern gibt es einen 
gesonderten, ausführlichen Artikel. 
Die Einrichtung beziehungsweise der 
Träger der Einrichtung ist für alle Fotos, 
Video- und auch Audioaufzeichnungen 
verantwortlich, die auf dem Gelände 
der Einrichtung aufgenommen werden. 
Wenn also die Oma die Gruppe spielen- 
der Kinder fotografiert und im sozialen 


Netzwerk postet, ist die Einrichtung 
beziehungsweise der Träger verantwort- 
lich. Wenn der Zaungast ein Foto von 
spielenden Kindern auf dem Spielplatz 
des Kindergartens macht und veröffent- 
licht, ist der Kindergarten beziehungs- 
weise sein Träger verantwortlich. Daher 
ist es ratsam, wenn die Einrichtungen 
das Fotografieren und Filmen auf ihrem 
Gelände verbieten. Es ist ratsam Schil- 
der mit durchgestrichenen Kameras 
sichtbar aufzuhängen. Auch Audioauf- 
nahmen sollten verboten werden. Wenn 
dann doch von einer Veranstaltung Fo- 
tos gemacht werden sollen, dann hat 
der Verantwortliche immer noch die 
Möglichkeit, Fotografen zu akkreditie- 
ren, die die Datenschutzbestimmungen 
beachten. 


Eltern beziehungsweise Erziehungs- 
berechtigte 


Kindergärten und Kinderbetreuungs- 
einrichtungen erheben und verarbeiten 
natürlich auch personenbezogene Da- 
ten von Eltern beziehungsweise Erzie- 
hungsberechtigten. Hier werden Daten 
angefragt, wie Namen, ladungsfähige 
Anschriften, unmittelbare Kontaktmög- 
lichkeiten und, sofern die bargeldlose 
Zahlung vereinbart wurde, auch das 
SEPA Mandat und was sonst noch für 
den Betreuungsvertrag zwingend er- 
forderlich ist. Die rechtliche Grundlage 
ergibt sich wieder aus Art. 6 Abs. 1 lit. b 
DSGVO (Vertragserfüllung). Selbstver- 
ständlich sollte es der Einrichtung auch 
freistehen, bei der Anmeldung einen 
Nachweis über die Erziehungsberech- 
tigung zu fordern. Um spätere Überra- 
schungen zu vermeiden, sollte die Ein- 
richtung Kenntnis über die Identität al- 
ler Erziehungsberechtigten haben. Um 
den Erziehungs- und Betreuungsablauf 
möglichst unkompliziert zu gestalten, 
und bei späteren Einwilligungen nicht 
hinter allen Erziehungsberechtigten 
hinterher zu laufen, ist esratsam, wenn 
die Erziehungsberechtigten sich gegen- 
seitig bevollmächtigen, oder zumindest 
der eine dem anderen eine schriftliche 
Vollmacht erteilt, dass bei Entscheidun- 
gen, wie Einwilligungen, die Zustim- 
mung des einen Erziehungsberechtig- 
ten ausreicht. Die Erhebung und Verar- 
beitung von regelmäßig aktualisierten 
Fotos der Erziehungsberechtigten hilft 
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den Erziehenden und Betreuenden bei 
der schnelleren Zuordnung von Kind zu 
Eltern. Die Alternative wäre im Zweifel 
das Vorzeigen eines gültigen Lichtbild- 
ausweises. 

Der Vertrag sollte darüber hinaus 
auch von den Erziehungsberechtigten 
gegebene Angaben erhalten, wer im 
Notfall wie kontaktiert werden kann. 
Es ist zu empfehlen, hier die unmittel- 
baren Kontaktdaten, wie Festnetz- und 
Mobilfunknummer von drei priorisier- 
ten, verschiedenen Personen anzu- 
geben, so dass es, falls die Person mit 
der höchsten Priorität nicht erreicht 
werden kann, noch zwei weitere Per- 
sonen als Backup gibt. Auch hier muss 
die Einrichtung die Möglichkeit haben, 
die Personen zu identifizieren. Eine 
Möglichkeit wäre, im Vertrag festzuhal- 
ten, dass die Personen im Zweifel einen 
Lichtbildausweis vorzeigen müssen. 
Eine andere Möglichkeit wäre, über die 
Erziehungsberechtigten aktuelle und in 
regelmäßigen Abständen aktualisierte 
Fotos der Notfallkontaktpersonen zu er- 
heben und zu verarbeiten. 

Wichtig istin diesem Zusammenhang, 
dass die Personen, die durch die Erzie- 
hungsberechtigten als Notfallkontakte 
angegeben werden, schriftlich entspre- 
chend Art. 14 DSGVO informiert werden. 
Das kann auf dem postalischen Weg pas- 
sieren oder durch eine persönliche Aus- 
händigung. 

Wenn ein Kindergarten oder eine Kin- 
dertagesstätte den Eltern oder Erzie- 
hungsberechtigten wichtige Informati- 
onen zukommen lassen möchte, kann 
das natürlich über die Überreichung in 
Papierform bei der Abholung oder klas- 
sisch auf dem Postweg passieren, oder 
per E-Mail. Die Erhebung der E-Mail-Ad- 
resse ist dafür erforderlicher Vertrags- 
bestandteil. Hierüber dürfen aber nur 
Informationen verteilt werden, die für 
den Betriebsablauf erforderlich sind. 
Wie zum Beispiel, dass ein Ausflug oder 
ein Theaterstück geplant ist. Werbung 
mit dem Ziel, mehr Anmeldungen oder 
Spenden zu erhalten, dürfen auch Kin- 
dergärten und Kindertagesstätten nur 
dann an die Eltern versenden, wenn die 
Eltern explizit eingewilligt haben. 

Selbstverständlich sind unmittelbare 
Kontaktmöglichkeiten der Eltern und Er- 
ziehungsberechtigten, wie Telefonnum- 
mern und E-Mail-Adressen, vertraulich 
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zu behandeln und dürfen nur verwendet 
werden, wenn es wegen des Kindes einen 
akuten Klärungsbedarf gibt. Generell 
empfinden viele Menschen unangekün- 
digte Telefongespräche als Belästigung. 
Wenn die Klärung mehr als 30 Minuten 
Zeit hat, ist es empfehlenswert, wenn die 
Einrichtung eine Textnachricht (SMS) 
mit der Bitte um ein Telefonat dem Anruf 
vorausschickt. Hierbei ist auf das Medi- 
um zu achten. Die Nutzung von Elternda- 
ten via WhatsApp ist nicht zulässig. Hat 
die Klärung Zeit bis zum nächsten Tag, 
ist hier die Versendung einer E-Mail zu 
empfehlen. Bei der Verwendung von E- 
Mails ist auf Verschlüsselung zu achten. 
Alternativ lässt sich ja auch eine Nach- 
richt auf Papier dem Kind beziehungs- 
weise dem Abholenden mitgeben. 

Der Prozess, wie ein Kind für einen 
oder mehrere Tage Abwesenheit zu 
melden ist, sollte ebenfalls im Vertrag 
festgelegt sein. Es ist hier zu bedenken, 
dass die Einrichtung natürlich über an- 
steckende Krankheiten eines Kindes 
oder in der Familie eines Kindes Be- 
scheid wissen muss. 

Es ist zu empfehlen, dass Elternver- 
netzung nicht durch die Einrichtung 
vorgenommen wird, sondern in Eigenin- 
itiative der Eltern. 


Den Eltern nahestehende Personen 


Den Eltern beziehungsweise den Er- 
ziehungsberechtigten nahestehende 
Personen, von denen die Einrichtungen 
personenbezogene Daten erheben und 
verarbeiten, sind zum Beispiel Perso- 
nen, die berechtigt sind, das Kind abzu- 
holen oder auch Personen, die mit dem 
Kind an Stelle der Eltern an einer Veran- 
staltung teilnehmen. Die Beschäftigten 
der Einrichtung müssen die Personen 
eindeutig identifizieren können. 

Die Daten werden durch die Eltern 
beziehungsweise die Erziehungsbe- 
rechtigten erhoben. Name, ladungsfä- 
hige Anschrift sowie unmittelbare Kon- 
taktmöglichkeit sind üblich. Wie oben 
schon beschrieben, ist es hier hilfreich, 
wenn die Erziehungsberechtigten ein 
aktuelles Foto der Person einreichen, 
das regelmäßig aktualisiert wird, um die 
Überprüfung durch einen Lichtbildaus- 
weis zu vermeiden. 

Es sollte Aufgabe der Eltern sein, die 
betroffenen Personen über die Daten- 


weitergabe zu informieren. Es ist die 
Pflicht der Einrichtung beziehungs- 
weise des Trägers, hier die betroffenen 
Personen entsprechend Art. 14 DSGVO 
zu informieren. Das kann über den Post- 
weg passieren oder durch eine die per- 
sönliche Aushändigung. 


Auftragnehmende 


Auftragnehmende, die im Auftrag 
personenbezogene Daten verarbeiten, 
können aus unterschiedlichen Berei- 
chen kommen. Das kann der Caterer 
sein, das kann aber auch der selbständi- 
ge Erzieher sein oder der ehrenamtliche 
Betreuer, der kein Mitglied im Verein 
der Einrichtung ist. Es kann aber auch 
der externe IT-Dienstleister sein. 

Die Frage, die hier häufig gestellt 
wird: Das ist doch B2B, wo greift denn 
hier die DSGVO und andere Gesetze und 
Vorschriften zum Datenschutz? Bei Ein- 
Personen-Unternehmen hat natürlich 
die eine Person das Recht auf die Wah- 
rung ihrer Persönlichkeitsrechte. Das 
gilt auch für Beschäftigte von anderen 
Unternehmen. Zum Beispiel unterliegen 
die direkten Kontaktdaten von Beschäf- 
tigten eines Auftragnehmers der DSGVO. 
Der Umgang mit Daten von selbständi- 
gen oder ehrenamtlichen Erziehenden 
beziehungweise Betreuenden sollte sich 
nicht groß vom Umgang mit den Infor- 
mationen zu Beschäftigten unterschei- 
den. Was allerdings erforderlich ist, ist 
Auftragsverarbeiterverträge entspre- 
chend Art. 28 DSGVO abzuschließen. 
Je nach Größe des Unternehmens ist es 
ratsam, auch mit der Nutzung von Tele- 
fonnummern vorsichtig umzugehen. 


Geld- und Sachspendende 


Die Erfassung von personenbezoge- 
nen Daten von Spendern ist nur dann 
erforderlich, wenn die Spendenden ei- 
nen Nachweis über ihre Spende verlan- 
gen oder die Spende in einer Höhe ist, 
dass der Name des Spendenden bekannt 
gegeben werden muss. Bei einer Spende 
ist es immer ratsam, nachzuhaken, ob 
die Person einen Nachweis, eine Quit- 
tung, haben möchte oder die Spende als 
anonyme Spende verbucht werden soll. 
Wird ein Nachweis verlangt, so wird die 
Steueridentifikationsnummer des Spen- 
ders benötigt. Alternativ hat der Spen- 
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der seinen Namen und seine postalische 
Anschrift mitzuteilen. Die Rechtsgrund- 
lage ergibt sich aus Art. 6 Abs. 1 lit. c 
DSGVO (gesetzliche Vorgabe). 

Spenderdaten dürfen natürlich nur 
für die Buchhaltung verwendet werden. 
Spendern hier ohne explizite Einwilli- 
gung Werbung zukommen zu lassen, ist 
nicht zulässig. 


Besuchende der Internetpräsentation 


Auch Webseiten von Kinderbetreu- 
ungseinrichtungen sollten DSGVO- 
konform gestaltet werden. Es ist hier 
nicht ratsam, einen hausbackenen 
Auftritt ins Netz zu stellen. Hier sind 
einige Fallstricke zu beachten. Häufig 
wird nicht nur die IP-Adresse erhoben 
und durch den Webserver-Dienstleis- 
ter, mit dem es einen Auftragsverar- 
beitervertrag geben sollte, sieben Tage 
gespeichert, sondern es werden Be- 
treuungsanträge zum Download oder 
gar zur Online-Ausfüllung angeboten 
und so weiter. Eventuell wird sogar mit 
Kinderfotos geworben. 

Hier sind einige organisatorische 
Maßnahmen erforderlich, die bedacht 
werden müssen. Liegen Einwilligungen 
der abgebildeten Personen auf den Fo- 
tos vor? Für wie lange gelten die Einwil- 
ligungen? Kaum ein Kind möchte auch 
noch nach fünfzig Jahren sein Foto un- 
honoriert auf der Schokoladenpackung 
sehen. Die Informationen entsprechend 
Art. 13 DSGVO (im Volksmund Daten- 
schutzerklärung genannt) für Internet- 
präsenzen sind vorzuhalten. 


Löschpflichten 


Wann ist die Einrichtung beziehungs- 
weise der Träger verpflichtet, die Daten 


zu löschen? Für die Spenderdaten gel- 
ten die Vorschriften des Steuerrechts. 
Für die Verträge gelten die Aufbewah- 
rungsfristen des Handelsgesetzbuches. 
Alles andere ist zu löschen, sobald es 
nicht mehr benötigt wird. Wenn das 
Kind eingeschult wird, benötigt der Kin- 
dergarten die Information, dass es lak- 
toseintolerant ist, nicht mehr. Derartige 
Informationen sollten umgehend ver- 
nichtet werden. Auch die Information, 
wer das Kind abholen durfte, ist dann 
nicht mehr von Belang und zu vernich- 
ten. 


Recht auf Datenübertragbarkeit 


Betroffene haben das Recht auf Da- 
tenübertragbarkeit. Das würde zum 
Beispiel bedeuten, dass, wenn das Kind 
die Betreuungseinrichtung wechselt, 
die Erziehungsberechtigten die Daten 
in einem maschinenlesbaren Format an- 
fordern können, die dann von der neuen 
Betreuungseinrichtung eingelesen und 
verarbeitet werden sollen. 

Es ist hier zu bezweifeln, dass die 
Einrichtungen zum heutigen Zeitpunkt 
überhaupt schon so weit sind. Vieles 
passiert noch auf Papier. Auch bietet 
eventuell verwendete Software gar 
keine Kompatibilitätsmöglichkeit zur 
verwendeten Software der neuen Ein- 
richtung. Wenige Softwarehersteller 
haben sich bereits um die Implemen- 
tierung entsprechender Schnittstellen 
bemüht. 


Recht auf Kopie der Daten 


Betroffene haben das Recht auf eine 
Kopie ihrer Daten. Eltern beziehungs- 
weise Erziehungsberechtigte natürlich 
auch für die Daten ihrer Kinder. Über 


die genaue Form der Kopie lässt sich 
die DSGVO nicht eindeutig aus. Die DS- 
GVO sagt nur, dass die Kopie in elekt- 
ronischer Form zu erfolgen hat, wenn 
der Antrag elektronisch gestellt wurde. 
Sie lässt sich aber nicht darüber aus, 
in welcher Form die Kopie zu erfolgen 
hat, wenn der Antrag in anderer Form 
gestellt wird. Es kann hier auch nicht 
vom Verantwortlichen verlangt wer- 
den, elektronisch vorliegende Daten 
auf Papier auszudrucken, denn dann 
wäre es keine Kopie, sondern ein Aus- 
druck. Elektronisch vorliegende Daten 
können nur elektronisch kopiert wer- 
den. Daten, die auf Papier vorliegen, 
können entweder eingescannt oder 
auf Papier kopiert werden. Werden die 
Daten jedoch eingescannt, ist zu be- 
achten, dass sie dann elektronisch vor- 
liegen und dafür die technischen und 
organisatorischen Maßnahmen ange- 
passt werden müssen. 


Datenschutzbeauftragte 


Müssen Kindergärten und Kinderta- 
gesstätten eine Datenschutzbeauftrag- 
te bestellen? Die Träger von Kinderbe- 
treuungseinrichtungen sind meistens 
so groß, dass sie in jedem Fall eine oder 
gar mehrere Datenschutzbeauftrag- 
te bestellt haben, die dann natürlich 
auch für die Kindergärten und Kinder- 
tagesstätten mit zuständig sind. Ist die 
Einrichtung eine eigenständige, juris- 
tische Person, ist sie in der Regel nicht 
so groß, dass sie eine Datenschutzbe- 
auftragte bestellen müsste. Eine Daten- 
schutzexpertin beratend an der Seite zu 
haben, ist empfehlenswert, da gerade 
in Kinderbetreuungseinrichtungen von 
Seiten der Eltern viel Halbwissen ver- 
breitet wird. 


In eigener Sache | 


Mitgliedsbeiträge ab 2020 


DANA-Preise ab 2020 


Seit 2014 betrug der Preis der Datenschutz Nach- 
richten unverändert 12,00 Euro. Durch höheren Um- 
fang und höhere Produktionskosten steigt der Heft- 
preis ab 01.01.2020 auf 14,00 Euro. Die Abopreise 
erhöhen sich auf 48,00 Euro für 4 Ausgaben pro Jahr 


in Deutschland. Abonnenten aus dem Ausland zahlen 


zukünftig 58,00 Euro. 
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Die normalen Mitgliedsbeiträge steigen von 75,00 
Euro auf 90,00 Euro/Jahr. Die ermäßigten Beiträ- 
ge steigen von 32,00 Euro auf nunmehr 36,00 Euro/ 
Jahr. Der Mindestbeitrag für Firmenmitgliedschaften 
steigt von 160,00 Euro auf 185,00 Euro/Jahr. 


DANA ® Datenschutz Nachrichten 4/2019 


Susanne Holzgraefe 


Datenschutz im offenen Ganztag 


Vorwort 


Offene Ganztagsschulen sind der 
Trend in manchen Gegenden. Gerade 
in wenig bevölkerten Regionen kommt 
es immer häufiger vor, dass die einzi- 
ge Schule eine offene Ganztagsschule 
ist. Die Eltern entscheiden hier, ob das 
Kind Mittagessen und eine Nachmit- 
tagsbetreuung erhält oder nach dem 
Unterricht nach Hause geht. Einmal 
festgelegt, lässt es sich an vielen Schu- 
len im laufenden Schuljahr nicht än- 
dern. Entweder an jedem Schultag Mit- 
tagessen und Nachmittagsbetreuung 
oder gar nicht. 

Die Essenversorgung und die Betreu- 
ung wird häufig nicht von der Schule 
sondern von externen Vereinen oder 
anderen Organisationen sowie externen 
Catering-Firmen durchgeführt. Hierbei 
fallen natürlich einige personenbezoge- 
ne Daten an. Nicht selten bekommt das 
Catering direkt die Information, dass 
Maik Schlüter laktoseintolerant ist, 
Frauke Rothschild koscher isst und Fritz 
Herrmann unter Zöliakie leidet. Auch 
kann es vorkommen, dass hier direkt 
an die Catering-Firmen weitergegeben 
wird, dass Peter Meier und Anke Müller 
heute krank sind und daher kein Mittag- 
essen für sie geliefert werden braucht. 

Die Betreuenden der hier beschriebe- 
nen offenen Ganztagsschulen sind ent- 
weder bei dem Verein oder der Organi- 
sation angestellt, als Mitglieder ehren- 
amtlich tätig oder extern ehrenamtlich 
oder als Selbständige beschäftigt. Sie 
bekommen personenbezogene Informa- 
tionen entweder von der Verwaltung der 
Vereine und Organisationen oder direkt 
von der Schule. Die Vereine und Organi- 
sationen bekommen personenbezogene 
Daten entweder von der Schule, vom Ju- 
gendamt oder durch direkte Erhebung 
bei den Eltern. Ein Standard-Verfahren 
gibt es hier nicht. 

Die Betreuung selbst findet entweder 
direkt in der Schule oder auf dem Gelän- 
de der betreuenden Vereine und Organi- 
sationen statt. 
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Verantwortliche 


Als erstes stellt sich bei offenen 
Ganztagsschulen die Frage, wer ist ver- 
antwortlich für die für die Betreuung 
und die Essenversorgung anfallenden 
personenbezogenen Daten? Die Schu- 
le, die Kommune, das Bundesland, der 
betreuende Verein beziehungsweise die 
betreuende Organisation, die Catering- 
Firma oder wurden hier gemeinsam 
Verantwortliche entsprechend Art. 26 
DSGVO festgelegt? Oder wurde mit dem 
betreuenden Verein beziehungswei- 
se der betreuenden Organisation eine 
Verarbeitung im Auftrag entsprechend 
Art. 28 DSGVO vertraglich vereinbart? 
Und wer ist verantwortlich für die Be- 
auftragung des Catering? 

Hier gilt es in jedem Fall die Verträge 
genau zu prüfen. Auch stellt sich die 
Frage, ob es wirklich das mildeste Mit- 
tel ist, personenbezogene Kinderdaten 
an das Catering-Unternehmen weiter- 
zuleiten. Reicht es nicht, wenn die Be- 
treuenden wissen, welches Kind Essen- 
einschränkungen hat. Reicht es nicht, 
täglich der Catering-Firma mitzuteilen: 
heute 184 malnormal, 5 malkoscher, 18 
mal laktosefrei und 34 mal Nussallergie. 
Muss die Catering-Firma wirklich die 
Namen der Kinder auf die Essenportio- 
nen schreiben? Kann die Verteilung der 
Spezialessen nicht durch die Betreuen- 
den erfolgen? 

Werden Daten an die Catering-Firma 
weitergeleitet, so ist darauf zu achten, 
dass die Catering-Firma ein Auftrags- 
verarbeiter ist und hier Art. 28 DSGVO 
einzuhalten ist. 


Beschäftigte 


Der Beschäftigten-Datenschutz ist 
natürlich auch hier einzuhalten. Neben 
Beschäftigten mit Anstellungsvertrag, 
kann es ehrenamtliche Beschäftigte ge- 
ben, die als Mitglieder des Vereins oder 
der Organisation ehrenamtlich (gegen 
Aufwandsentschädigung) tätig sind. Da 
sie durch die Mitgliedschaft eine direkte 


Zugehörigkeit zum Verein haben, sind 
es keine Dritten. 

Dritte sind jedoch Beschäftigte, die 
selbständig sind und vom Verein bezie- 
hungsweise der Organisation beauftragt 
werden, sowie ehrenamtlich Beschäftig- 
te, die keine Mitglieder des Vereins oder 
der Organisation sind. Sofern personen- 
bezogene Daten an sie weitergeleitet 
werden, was sich bei der Kinderbetreu- 
ung schwer ausschließen lässt, sind 
sie Auftragsverarbeiter und es sind die 
Bestimmungen entsprechend Art. 28 
DSGVO einzuhalten. 


Transparenz 


Es ist darauf zu achten, dass die Kin- 
der und Jugendlichen sowie die Eltern 
beziehungsweise die Erziehungsberech- 
tigten alle Informationen entsprechend 
Art. 13 und Art. 14 DSGVO erhalten. Die 
Informationen sollten entsprechend 
Art. 12 DSGVO klar und leicht verständ- 
lich und in möglichst einfacher Sprache 
verfasst sein und es sollte gegebenen- 
falls mit Piktogrammen und Bildern ge- 
arbeitet werden. Das Augenmerk sollte 
darauf gelegt werden, dass die Kinder 
die ihnen ausgehändigten Informatio- 
nen verstehen. 


Rechtsgrundlagen 


In der offenen Ganztagsbetreuung 
werden einige Daten erhoben und ver- 
arbeitet, die zur Vertragserfüllung er- 
forderlich sind. Die Rechtsgrundlage 
bietet hier Art. 6 Abs. 1 lit. b DSGVO. 
Lebensnotwendige Informationen wie 
zum Bespiel gesundheitliche Essen- 
einschränkungen, wie häufig das Kind 
welche Medikamente benötigt oder ob 
und wie gut das Kind schwimmen kann, 
können mit Art. 6 Abs. 1lit. dDSGVO be- 
gründet werden. 

Einwilligungen gestalten sich als 
schwierig, da die Freiwilligkeit stets ge- 
nausten unter die Lupe genommen wer- 
den sollte. Steht der Jugendliche wirk- 
lich nicht unter dem sozialen Druck, 
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einzuwilligen, weil alle Anderen auch 
eingewilligt haben? 


Soziale Netzwerke 


Eltern, aber auch Kinder und Jugend- 
liche möchten sich gerne in sozialen 
Netzwerken organisieren. Betreuende 
Vereine und Organisationen sind gut be- 
raten, hier keine Initiativen zu ergreifen 
und sich an derartigen Organisationen 
nicht zu beteiligen. Wenn sich Eltern 
oder Kinder und Jugendliche unterein- 
ander organisieren möchten, dann pri- 
vat und nicht unter der Verantwortung 
der Betreuenden. 

Auch ist es wünschenswert, dass Be- 
treuende Kinder und Jugendliche auf 
Datenschutz und die Nutzung von sozia- 
len Netzwerken regelmäßig sensibilisie- 
ren. Die Erfahrungen zeigen, dass Kin- 
der und Jugendliche häufig unbedacht 
Fotos, Videos und auch Tonaufnahmen 
von anderen Kindern und Jugendlichen 
ins Netz posten, unverschlüsselt mitein- 


ander chatten oder E-Mails austauschen 
und ihr eigenes komplettes Leben im 
Netz öffentlich machen. Wie groß hier 
die Gefahren sind, können sie dabei 
noch gar nicht abschätzen. Stetiges 
Sensibilisieren durch Erziehende, Leh- 
rende, Betreuende und andere ist hier 
wichtig. 


Technische und Organisatorische 
Maßnahmen 


Werden Informationen an Betreuende 
weitergeleitet, so ist sicherzustellen, 
dass die Informationen bei den Betreu- 
enden vertraulich verarbeitet werden. 
Sollten Betreuende für die Speicherung 
technische Geräte nutzen, so müssen 
selbstverständlich auch hier technische 
Maßnahmen ergriffen werden, damit 
die Daten sicher abgelegt werden und 
die Vertraulichkeit bei der Verarbeitung 
nicht (unbewusst) verletzt wird. 

Es ist ratsam, dass die Vereine und 
Organisationen mindestens eine Per- 
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son beschäftigt haben, die sich um die 
Sicherheit der technischen Geräte sowie 
der Server kümmert. Die Träger sollten 
ihre Beschäftigten in den Umgang mit 
verschlüsselter Kommunikation ein- 
weisen. Regelmäßiges Sensibilisieren 
der Beschäftigten, nicht nur auf Daten- 
schutz sondern auch auf Datensicher- 
heit, istratsam. 


Fazit 


Der Unterschied beim Datenschutz 
im offenen Ganztag zum Datenschutz 
im Kindergarten ist, dass die Kinder äl- 
ter sind. Sie können mit zunehmendem 
Alter immer besser lesen und schreiben, 
nutzen immer mehr technische Geräte 
und neue Techniken, um sich mit der 
Welt zu vernetzen. Aufklärung und Sen- 
sibilisieren ist hier von enormer Wich- 
tigkeit. Die Kinder und Jugendlichen 
sollten dabei auch die Grenzen der eige- 
nen Privatheit entdecken und schätzen 
lernen. 


„Das hätte ich nicht gedacht, dass es so einfach ist an 
die Daten zu kommen.” - Praktische Sensibilisierung an 


Schulen 


Die bezeichnende Aussage im Titel 
stammt aus dem Kreis der Schülerin- 
nen und Schüler, die jüngst an einem 
unserer Hands-on Workshops zur Da- 
tenschutz-Sensibilisierung teilnahmen. 
Dieser Beitrag umreißt die hierfür nöti- 
gen Vorarbeiten und die bei der Durch- 
führung gewonnenen Erkenntnisse. 


Verwandte Ansätze und Motivation 


Beispielgebend für die Sensibilisie- 
rung an Schulen und hinsichtlich ihrer 
Reichweite führend dürfte die Initi- 
ative „Datenschutz geht zur Schule” 
des Berufsverbands der Datenschutz- 
beauftragten Deutschlands (BvD) e.V. 
sein. Bereits seit 2009 engagieren sich 
Mitglieder ehrenamtlich, um bundes- 
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weit Sensibilisierungsvorträge anzubie- 
ten. In 90-minütigen Einheiten werden 
anhand praktischer Beispiele und Vi- 
deoclips Risiken und Verhaltensregeln 
für typische Anwendungsfälle von Kin- 
dern und Jugendlichen erklärt.! 

Der Bevölkerung Datenschutz auch 
einmal auf unkonventionelle und Aufse- 
hen erregende Weise näher zu bringen, 
ist Teil des vom Landesbeauftragten Ba- 
den-Württemberg formulierten Konzepts 
„Datenschutz als KULTuraufgabe”, das 
das Anliegen des Schutzes personenbe- 
zogener Daten künstlerisch vermitteln 
soll. Aus unserem Kontakt mit der Auf- 
sichtsbehörde entstand die Idee, mit 
Studierenden Demonstratoren zu entwi- 
ckeln, die möglichst plastisch Auswir- 
kungen der Datenverarbeitung verdeut- 


lichen. Dadurch sollten die oft nur abs- 
trakt wahrgenommenen Risiken stärker 
ins Bewusstsein gerückt werden, um dem 
als „privacy paradox” bekannten Phäno- 
men entgegen zu wirken und tatsächlich 
Verhaltensänderungen anzustoßen. 


Einbindung von Studierenden 


Das Curriculum des Bachelor-Studi- 
engangs Wirtschaftsinformatik an der 
Dualen Hochschule Baden-Württem- 
berg (DHBW) sieht vor, dass sich alle 
Studierende im dritten Jahr in einem 
Projekt intensiv mit einer Fragestel- 
lung auseinandersetzen, um insbeson- 
dere ihre Fähigkeiten zur Teamarbeit 
und Kenntnisse des Software Enginee- 
rings zu vertiefen. Im Wintersemester 
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2017/18 entstanden dabei anfänglich 
vier Android Apps sowie eine Anwen- 
dung für den Einplatinenrechner Rasp- 
berry Pi, die jeweils die technische 
Machbarkeit zeigten. Vorgabe für eine 
sich im Sommersemester anschließende 
Wahlvorlesung war es, die Ergebnisse 
aufzubereiten und in geeigneter Wei- 
se der Öffentlichkeit vorzustellen. Die 
Studierenden entschieden sich dabei 
für SchülerInnen als Zielgruppe und 
konzipierten eine Sensibilisierungs- 
veranstaltung für ein Stuttgarter Gym- 
nasium, für die sie zwei der entwickel- 
ten Apps einsetzten. 

In ähnlicher Weise wiederholten wir 
im Folgejahr das Format der Lehrveran- 
staltungen mit wachsender Beteiligung, 
wobei die beiden Apps weiterentwickelt 
und durch sechs neue Anwendungen er- 
gänzt wurden.? Als Vorgehensmodell zur 
Softwareentwicklung gaben wir dabei 
erstmals Scrum und entsprechende tech- 
nische Hilfsmittel als verpflichtend vor, 
um die Effizienz zu steigern. 


Konzept der Workshops an Schulen 


Die den Schulen als „Datenschutztag” 
angebotene Veranstaltung ist für eine 
Gesamtdauer von ca. drei Stunden und 
für 15 bis 50 TeilnehmerInnen ab der 7. 
Jahrgangsstufe ausgelegt. Als Lernziele 
sollten die SchülerInnen - anhand der 
Diskussion über Videoüberwachung - 
erfahren, welcher Überwachung sie im 
Alltag ausgesetzt sind und es sollte ih- 
nen andererseits verdeutlicht werden, 
welche Gefahren mit mobilen Anwen- 
dungen verbunden sein können. 

In den Workshops treten dabei aus- 
schließlich Studierende? als ReferentIn- 
nen auf, da wir annehmen, dass diese 
aufgrund des geringeren Altersunter- 
schieds für die Zielgruppe nahbarer und 
damit glaubhafter wirken. 

Nach einer kurzen Einführung werden 
aus drei bis fünf SchülerInnen bestehen- 
de Teams gebildet, die jeweils wenigstens 
über ein hinreichend aktuelles Android- 
Smartphone verfügen müssen. Auf die- 
sem wird unsere App Camfinder verwen- 
det, mit der die Kartendaten des Com- 
munity-Projekts Surveillance under Sur- 
veillance* visualisiert und selbst ergänzt 
werden können. Letzteres ist das Ziel 
einer anderthalbstündigen „Challenge“ 
in Form einer Stadtrallye, bei der es gilt, 
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möglichst viele Überwachungskameras 
zu finden und zu dokumentieren. 

Bei der zweiten App, die an die Schü- 
lerInnen für die Dauer der Veranstal- 
tung verteilt wird, handelt es sich da- 
gegen um Spionagesoftware, die eine 
Fernsteuerung eines Smartphones 
erlaubt. Die Schadfunktionen werden 
dabei durch eine plausible „cover sto- 
ry“ verschleiert. Wahlweise wird dabei 
bFree als leistungsfähiger Virenscanner 
oder WhiteHatChat als sicherer Messen- 
ger angeboten. 

Nach Auswertung der Ergebnisse der 
Rallye, bei der typischerweise (im in- 
nerstädtischen Bereich) eine für die 
SchülerInnen erstaunlich hohe Zahlvon 
Kameras gefunden wird, erfolgt schließ- 
lich auch die Offenlegung der Spionage- 
software. Dabei wird die Administrator- 
Oberfläche der Serverkomponente ge- 
zeigt, über die die verbundenen Geräte 
etwa angewiesen werden können, Posi- 
tionsdaten zu sammeln, Kontakte aus- 
zulesen, heimliche Tonaufnahmen und 
Fotos zu machen oder SMS in fremdem 
Namen zu versenden. 

Bei der Darstellung des technisch 
Machbaren wird behutsam vorgegangen 
und konsequent auf einen respektvol- 
len Umgang geachtet. Um niemanden 
bloßzustellen, werden die ausspionier- 
ten Informationen verschlüsselt gespei- 
chert und nur der betroffenen Person 
selbst zugänglich gemacht. Vor der 
Gruppe werden nur solche Aufzeichnun- 
gen gezeigt, die über ein Vorführgerät 
der DHBW gewonnen wurden und keine 
unbeteiligten Dritten tangieren. 

Zwei kurze Videoclips, die fiktiv den 
wirtschaftlichen bzw. kriminellen Miss- 
brauch personenbezogener Daten illus- 
trieren, und Hinweise zum Selbstschutz 
leiten zur abschließenden Diskussion 
über. 


Lessons Learned 


Im vergangenen Semester fanden Ver- 
anstaltungen mit insgesamt 69 Schü- 
lerInnen an zwei allgemeinbildenden 
(jeweils 9. Klasse) sowie einem berufli- 
chen Gymnasium (11. Klasse) statt. In 
den abschließenden Feedbackrunden 
sowie in einer Umfrage mittels kurzer 
Papierfragebögen wurde einhellig die 
Art der Vermittlung des Themas durch 
die Studierenden gelobt. Die SchülerIn- 


nen bestätigten sehr deutlich die Aus- 
sage, dass sie im Workshop viel gelernt 
hätten („spannend”, „schockierend”, 
„sehr überraschend”, „krass“ waren Ad- 
jektive, mit denen die Erfahrungen be- 
schrieben wurden) und sie sich vorneh- 
men, künftig mehr auf den Datenschutz 
zu achten. Für die Erweiterung des Kon- 
zepts und der Apps wurden hilfreiche 
Erkenntnisse gewonnen - so etwa hin- 
sichtlich der im Vergleich zum Markt- 
anteil recht geringen Verfügbarkeit von 
Android-Geräten unter SchülerInnen, 
Problemen bei der Installation der Apps 
sowie aufgetretenen kleineren Bugs, die 
es noch zu beseitigen gilt. 

Eine Herausforderung für die Weiter- 
entwicklung der Software besteht darin, 
dass sich die Studierenden jeweils nur 
während eines Semesters (in welchem 
noch weitere Lehrveranstaltungen lau- 
fen) mit dem Projekt befassen und da- 
durch regelmäßige Übergaben zwischen 
den Gruppen erforderlich sind. Doch 
auch die Rückmeldungen der Studieren- 
den zeigen, dass diese sich eingehend 
mit Datenschutzfragen auseinanderset- 
zen, was im Hinblick auf ihre berufliche 
Tätigkeit als Wirtschaftsinformatiker- 
Innen nur von Vorteil sein kann. 


1 https://www.bvdnet.de/datenschutz- 
geht-zur-schule/ 


2 siehe Shortlink https://ogy.de/privacy 
für eine Übersicht der Projekte 


3 Im Sommersemester 2019 waren an 
der Entwicklung und den Workshops 
Alexandra David, Jens Dörsam, Marian 
Finkbeiner, Simeon Höfer, Jan Pensel, 
Sarah Stadler, Maximilian Straub und 
Elisa Weber beteiligt. 


4 https://kamba4.crux.uberspace.de 
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Eltern - gesetzliche Vertreter oder Dritte? 


Das Verhältnis von Eltern zu ihren 
Kindern fand in der Diskussion zum 
Datenschutz lange Zeit keine besonde- 
re Aufmerksamkeit. Kinder tauchten im 
alten Bundesdatenschutzgesetz über- 
haupt nicht auf, wenngleich sie von An- 
fang an sowohl Objekt als auch Subjekt 
personenbezogener Datenverarbeitung 
waren und weiterhin sind. Was Eltern 
dürfen und ab wann Kindern mit und 
ohne ihre Eltern was erlaubt ist, wurde 
in der Praxis zumeist ad hoc und aus 
dem Bauch beantwortet. Das hat sich 
geändert. 

Kinder stehen im besonderen Schutz 
der europäischen Datenschutz-Grund- 
verordnung (DSGVO). Zugleich erge- 
ben sich durch die extensive elterliche 
und frühe kindliche Mediennutzung 
zunehmend informationelle Konflik- 
te zwischen Eltern und ihren Kindern: 
Diese können darauf beruhen, dass die 
Eltern auf Youtube peinliche Ausraster 
ihres Zöglings posten. Helikopter-Eltern 
überwachen ihre Kinder über GPS-Loka- 
lisierung, Mikrofon und/oder Kamera 
von deren Smartphone. Eltern lassen 
Speichelproben von sich und/oder ih- 
ren Kindern genetisch untersuchen, um 
die biologische Vaterschaft, andere Ver- 
wandtschaftsbeziehungen oder erbliche 
Dispositionen zu erkunden.' Aber auch 
die Kinder können Auslöser informatio- 
neller familiärer Auseinandersetzungen 
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sein, etwa wenn sie allzu Privates online 
mitteilen. Die Nutzung durch Kinder hat 
schon manch elterliches Endgerät zum 
Absturz gebracht. Besonders hart wird 
es nicht nur für die Teenager, sondern 
auch für deren Eltern, wenn ihre Kids 
sich als kriminelle Hacker betätigen 
und dabei fremde Konten plündern oder 
in die Privatsphäre Anderer eindringen. 


1. Übergeordnetes Recht 


Es ist klar, dass Kinder spätestens 
von ihrer Geburt an im Sinne des Da- 
tenschutzes gemäß Art. 8 Grundrechte- 
Charta (GRCh) grundrechtsfähig sind. 
Ihnen steht ebenso wie allen anderen 
Menschen ein Grundrecht auf informa- 
tionelle Selbstbestimmung zu. Damit 
geht aber nicht unbedingt eine eigene 
Grundrechtsmündigkeit einher. Die 
Grundrechtswahrnehmungs- bzw. -aus- 
übungsfähigkeit hängt grds. von der 
konkreten Einsichtsfähigkeit des Kin- 
des ab. Für diese gibt es keine starre 
Altersgrenze.’ Bei grundrechtsfähigen 
Personen wird zunächst auch deren 
Ausübungsfähigkeit angenommen. Die 
Ausnahmen hiervon bedürfen der Be- 
gründung bzw. Rechtfertigung. Dies gilt 
nicht nur für den Datenschutz, sondern 
auch für weitere Freiheiten, insbeson- 
dere das Recht auf Meinungsäußerung 
und auf Information, wie es in Art. 5 
Abs. 1 Grundgesetz (GG) sowie in Art. 11 
GRCh gewährleistet wird, sowie für das 
Telekommunikationsgeheimnis nach 
Art. 10 GG bzw. Art. 7 GRCh. Für ihre 
freie Entfaltung und Entwicklung muss 
Kindern ermöglicht werden selbst zu 
bestimmen, was sie informationell tun 
und wie sie sich mit wem und mit wel- 
chen Inhalten austauschen. 

Eine Rechtfertigung für die Ein- 
schränkung der Grundrechte der Kinder 
liegt im Erziehungsrecht der Eltern. 
In Art. 6 Abs. 2 GG heißt es: Pflege und 
Erziehung der Kinder sind das natürliche 
Recht der Eltern und die zuvörderst ihnen 
obliegende Pflicht. Über ihre Betätigung 
wacht die staatliche Gemeinschaft. Die- 


ses „natürliche Recht” dient aber nicht 
der Freiheitsbetätigung der Eltern. Es 
ist weitgehend anerkannt, dass das 
verfassungsrechtlich abgesicherte Sor- 
gerecht der Eltern in erster Linie ein 
pflichtgebundenes und fremdnütziges 
Recht im Interesse des Kindeswohls ist.’ 

Die Fremdnützigkeit des Erziehungs- 
rechts wird in Art. 24 GRCh unterstri- 
chen: (1) Kinder haben Anspruch auf 
den Schutz und die Fürsorge, die für ihr 
Wohlergehen notwendig sind. Sie kön- 
nen ihre Meinung frei äußern. Ihre Mei- 
nung wird in den Angelegenheiten, die 
sie betreffen, in einer ihrem Alter und ih- 
rem Reifegrad entsprechenden Weise be- 
rücksichtigt. (2) Bei allen Kinder betref- 
fenden Maßnahmen öffentlicher Stellen 
oder privater Einrichtungen muss das 
Wohl des Kindes eine vorrangige Erwä- 
gung sein. (3) Jedes Kind hat Anspruch 
auf regelmäßige persönliche Beziehun- 
gen und direkte Kontakte zu beiden ElI- 
ternteilen, es sei denn, dies steht seinem 
Wohl entgegen. 

Die kommunikative Teilhabe der Kin- 
der hat in der UN-Kinderrechtskonventi- 
on (UN-KRK) eine weitere übergeordne- 
te Grundlage, wo in Art. 12 Folgendes 
geregelt ist: Die Vertragsstaaten sichern 
dem Kind, das fähig ist, sich eine eigene 
Meinung zu bilden, das Recht zu, diese 
Meinung in allen das Kind berührenden 
Angelegenheiten frei zu äußern, und be- 
rücksichtigen die Meinung des Kindes an- 
gemessen und entsprechend seinem Alter 
und seiner Reife. Es darf nach Art. 13 
UN-KRK Medien nutzen und sich hierü- 
ber informieren: Das Kind hat das Recht 
auf freie Meinungsäußerung; dieses 
Recht schließt die Freiheit ein, ungeach- 
tet der Staatsgrenzen Informationen und 
Gedankengut jeder Art in Wort, Schrift 
oder Druck, durch Kunstwerke oder an- 
dere vom Kind gewählte Mittel sich zu 
beschaffen, zu empfangen und weiterzu- 
geben. Art. 17 UN-KRK erkennt die wich- 
tige Rolle der Massenmedien an und will 
sicherstellen, dass das Kind Zugang hat 
zu Informationen und Material aus einer 
Vielfalt nationaler und internationaler 
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Quellen, insbesondere derjenigen, welche 
die Förderung seines sozialen, seelischen 
und sittlichen Wohlergehens sowie seiner 
körperlichen und geistigen Gesundheit 
zum Ziel haben. 

Während also das Teilhaberecht der 
Kinder stark ausformuliert ist, ist der 
Datenschutz völkerrechtlich nur über 
den Schutz der Privatsphäre abgesi- 
chert*, z. B. in Art. 16 UN-KRK: Kein 
Kind darf willkürlichen oder rechtswid- 
rigen Eingriffen in sein Privatleben, sei- 
ne Familie, seine Wohnung oder seinen 
Schriftverkehr oder rechtswidrigen Be- 
einträchtigungen seiner Ehre und seines 
Rufes ausgesetzt werden. Das Kind hat 
Anspruch auf rechtlichen Schutz gegen 
solche Eingriffe oder Beeinträchtigungen. 
Zum Selbstbestimmungsrecht gehört es 
zu bestimmen, wer Zugriff auf die eige- 
ne Kommunikation erhält. 


3. Zivilrecht 


Das Erziehungsrecht der Eltern wird 
in 8 1626 BGB einfachgesetzlich umge- 
setzt: (1) Die Eltern haben die Pflicht 
und das Recht, für das minderjährige 
Kind zu sorgen (elterliche Sorge). Die el- 
terliche Sorge umfasst die Sorge für die 
Person des Kindes (Personensorge) und 
das Vermögen des Kindes (Vermögens- 
sorge). (2) Bei der Pflege und Erziehung 
berücksichtigen die Eltern die wachsen- 
de Fähigkeit und das wachsende Bedürf- 
nis des Kindes zu selbständigem verant- 
wortungsbewusstem Handeln. Sie be- 
sprechen mit dem Kind, soweit es nach 
dessen Entwicklungsstand angezeigt ist, 
Fragen der elterlichen Sorge und streben 
Einvernehmen an. Damit sind Konflikte 
zwischen Eltern und Kinder über den 
Umgang mit Daten vorprogrammiert 
und letztlich auch mit staatlichen Ein- 
richtungen, wenn diese sich in die in- 
formationelle Sorgebeziehung zwischen 
Eltern und Kindern einmischen. 

Die Umsetzung der Vorgaben des 
übergeordneten Verfassungs- und Völ- 
kerrechts ist in einer modernen hoch- 
technisierten Welt nicht trivial, in der 
sich nicht nur der Staat, sondern auch 
private Dritte informationell in die 
Eltern-Kind-Beziehung einmischen. 
Kinder sind wegen ihrer Manipulierbar- 
und Verletzlichkeit für viele Anbieter 
willkommene Objekte für kommerzielle 
Ausbeutung.’ Nicht zu reden von Krimi- 
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nellen, die zur Befriedigung ihrer Triebe 
oder in der Absicht sich zu bereichern, 
Kindern und ihren Eltern Schaden zufü- 
gen. 

Im Zivilrecht bestehen langjährig be- 
währte Regelungen zur Geschäftsfähig- 
keitvon Minderjährigen. Inden 88 104ff. 
BGB wird nach Fallgruppen geordnet, 
wann ein Kind oder ein Jugendlicher 
wirksam Geschäfte eingehen und abwi- 
ckeln kann. Weitere pauschalierte ge- 
setzliche Bewertungen finden wir im 
Strafrecht, also wann ein Heranwach- 
sender für seine Taten strafrechtlich zur 
Verantwortung gezogen werden kann, 
sowie in weiteren Rechtsgebieten.° Mit 
der DSGVO haben wir nun zumindest in 
Bezug auf Einwilligungen bei Diensten 
der Informationsgesellschaft erstmals 
in Art. 8 DSGVO eine spezifische Rege- 
lung. 

In der digitalen Welt besteht ge- 
genüber der analogen ein praktisches 
Problem: Alter und schon gar nicht die 
„Einsichtsfähigkeit” lassen sich aus der 
digitalen Distanz direkt erkennen. Den 
Eltern mag es noch möglich sein den 
Entwicklungsstand ihrer Kinder und 
deren Einsichtsfähigkeit in das, was sie 
digital tun, einzuschätzen. Dritten, die 
mit ihnen nur kurz oder gar nicht direkt 
zu tun haben, ist dies nur schwer oder 
überhaupt nicht möglich. 


2. Datenschutzrechtliche Willenser- 
klärung 


Bevor auf die datenschutzrechtlich 
relevanten Beziehungen zwischen EI- 
tern und ihren Kindern eingegangen 
wird, sind einige grundsätzliche Erwä- 
gungen zu Handlungen bzw. Erklärun- 
gen im Datenschutzrecht nötig: Da- 
bei wird bei Betroffenen insbesondere 
zwischen zwei Formen unterschieden: 
Einwilligung und Vertragsabschluss mit 
Verarbeitungsfolgen. 

Von Anfang an war die rechtliche 
Einordnung von Einwilligungen im 
Datenschutz umstritten: Sind diese ein 
spezielles Rechtsgeschäft, so dass es 
für deren Wirksamkeit einer zivilrecht- 
lichen Geschäftsfähigkeit bedarf?’ Dem 
wurde und wird entgegen gehalten, die 
Einwilligung bezöge sich nicht auf ein 
Geschäft, sondern auf eine tatsächliche 
Handlung, nämlich einen Eingriffin das 
Persönlichkeitsrecht.° Als Konsequenz 


hieraus wurde teilweise (fälschlich) 
geschlossen, dass das Recht der allge- 
meinen Geschäftsbedingungen (AGB) 
auf Datenschutzeinwilligungen nicht 
anwendbar sei.’ Auch die Vorschriften 
über die Vertretung seien nicht anwend- 
bar; grundsätzlich müsse der Betroffene 
die Einwilligung selbst erteilen.'? 

Inzwischen ist weitgehend aner- 
kannt, dass die Datenschutz-Einwilli- 
gung keine rechtsgeschäftliche Willens- 
erklärung ist. Ähnlich wie bei medizini- 
schen Eingriffen'! geht es beiinformati- 
onellen Maßnahmen um die Disposition 
über höchstpersönliche Rechte und 
Rechtsgüter. Die Einwilligung wird da- 
her als rechtsgeschäftsähnliche Hand- 
lung oder als Realakt'? eingestuft. Dies 
hat zur Folge, dass allenfalls eine ana- 
loge Anwendung der Regeln zur Ge- 
schäftsfähigkeit in Betracht kommt. 
Während aber bei körperlichen Eingrif- 
fen regelmäßig eine direkte Beziehung 
zu dem Kind besteht, über die ein Ein- 
druck vom Kind möglich ist, fehlt bei 
informationellen Maßnahmen oft ein 
solcher Bezug. Dies ist ein Grund mehr, 
fixe Altersgrenzen festzulegen, so wie 
dies nun in Art. 8 DSGVO vorgesehen ist. 

Bei informationellen Eingriffen als 
solche in den höchstpersönlichen Le- 
bensbereich stellt sich die praktische 
Frage, ob Willenserklärungen hierzu von 
einem Stellvertreter abgegeben werden 
können. Eltern sind gemäß 8 1629 Abs. 1 
S. 1 BGB in rechtsgeschäftlichen Din- 
gen gesetzliche Vertreter der eigenen 
Kinder. Die gesetzliche Vertretung be- 
schränkt sich aber nicht auf Rechtsge- 
schäfte, sondern ist auch bei geschäfts- 
ähnlichen Handlungen möglich. Dies 
gilt z.B. für medizinische, aber auch für 
informationelle Maßnahmen. 

Es ist streitig, inwieweit im Daten- 
schutzrecht eine gewillkürte Vertre- 
tung möglich ist. So wird teilweise die 
Ansicht vertreten, Datenschutz-Einwil- 
ligungen seien vertretungsfeindlich."? 
Delegiert ein Betroffener seine Ent- 
scheidung über die Zulässigkeit einer 
Datenverarbeitung an einen Dritten, so 
entscheidet er nicht selbst über Verant- 
wortlichkeit, Zweck, Artund Umfang der 
Datenverarbeitung. Dessen ungeachtet 
ist eine gewillkürte Bevollmächtigung 
eine spezifische Art der Wahrnehmung 
des eigenen Rechts auf informationelle 
Selbstbestimmung, wenn die Vollmach- 
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terteilung in informierter Weise erfolgt. 
Angesichts des Umstands, dass eine mit 
Vollmacht erteilte Einwilligung durch 
den Betroffenen selbst zurückgenom- 
men werden kann, ist nicht erkennbar, 
weshalb dem Betroffenen diese Art der 
Bevollmächtigung vorenthalten werden 
muss.'* 


3. Gesetzliche Vertretung des Kindes 


Im Hinblick auf die Vertretung der 
Kinder durch die Eltern spielt der Streit 
eine untergeordnete Rolle, da selbst die 
Gegner von Bevollmächtigungen die 
gesetzliche Vertretung im Datenschutz- 
recht zumeist akzeptieren.” Gemäß 
8 1629 Abs. 1S. 1 BGB umfasst die elter- 
liche Sorge die gemeinschaftliche Ver- 
tretung des Kindes, was in den Sätzen 
2 und 3 präzisiert wird: Die Eltern ver- 
treten das Kind gemeinschaftlich; ist eine 
Willenserklärung gegenüber dem Kind ab- 
zugeben, so genügt die Abgabe gegenüber 
einem Elternteil. Ein Elternteil vertritt das 
Kind allein, soweit er die elterliche Sorge 
allein ausübt oder ihm die Entscheidung 
nach & 1628 übertragen ist. 

In 8 1628 BGB ist vorgesehen, dass bei 
Meinungsverschiedenheiten zwischen 
den Eltern auf Antrag eines Elternteils 
das Familiengericht im Einzelfall die 
Entscheidung auf einen Eltenteil über- 
tragen kann. Sind die Meinungsver- 
schiedenheiten grundsätzlicher Art, 
so kann die gemeinsame Sorge gemäß 
8 1671 Abs. 1S.1BGB vollständig aufge- 
löst werden: Leben Eltern nicht nur vorü- 
bergehend getrennt und steht ihnen die 
elterliche Sorge gemeinsam zu, so kann 
jeder Elternteil beantragen, dass ihm 
das Familiengericht die elterliche Sorge 
oder einen Teil der elterlichen Sorge al- 
lein überträgt. Gemäß Abs. 2 ist ein sol- 
cher Antrag auch möglich, wenn die EI- 
tern nur vorübergehend getrennt leben. 

Das Recht unterscheidet zwischen 
Personensorge und Vermögenssorge 
(8 1626 Abs. 1S. 2 BGB). Betreffen in- 
formationelle Maßnahmen den höchst- 
persönlichen Bereich des Kindes, so ist 
dies ein Fall der Personensorge. Gleiches 
gilt für Formen der Datenverarbeitung, 
die in einem vertraglichen Kontext ste- 
hen, ohne finanzielle Auswirkungen 
zu haben, so wie dies etwa bei unent- 
geltlicher Nutzung von Webdiensten 
regelmäßig der Fall ist. Ist dagegen die 
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informationelle Maßnahme mit einer fi- 
nanziellen Gegenleistung verbunden, so 
haben wir es mit einem Fall der Vermö- 
genssorge zu tun. Entsprechendes kann 
auch ohne einen Vertrag gegeben sein, 
wenn mit einer informationellen Maß- 
nahme schuldrechtliche Konsequenzen, 
etwa Schadensersatzansprüche, ver- 
bunden sein können. Die Grenzen sind 
fließend; eine Grenzziehung ist nur bei 
speziellen Fallkonstellationen nötig. 

Neben der elterlichen Sorge gibt es 
weitere Formen der per Gesetz gere- 
gelten Kindesvertretung, die hier nur 
erwähnt werden können: Dies ist die 
Pflegschaft, bei der die Pflegeperson die 
Eltern in Angelegenheiten des täglichen 
Lebens vertritt (8 1688 Abs. 1 BGB). 
Bei Maßnahmen des Jugendamtes, der 
Heimerziehung, der sozialpädagogi- 
schen Einzelbetreuung und der Einglie- 
derungshilfe für seelisch behinderte Kin- 
der und Jugendliche gilt 8 1688 Abs. 2 
BGB: Der Pflegeperson steht eine Person 
gleich, die im Rahmen der Hilfe nach den 
88 34, 35 und 35a Abs. 1 Satz2 Nr. 3 und 
4 des Achten Buches Sozialgesetzbuch die 
Erziehung und Betreuung eines Kindes 
übernommen hat. Im SGB VIII, das die 
Kinder- und Jugendhilfe regelt, sind die 
Pflegschaft (vgl. auch 8 1909 Abs. 1 BGB) 
und die Vormundschaft als weitere For- 
men der Vertretung von Kindern geregelt 
(88 54 ff. SGB VII), wozu auch die Amts- 
pflegschaftund Amtsvormundschaft(855 
SGB VIII) gehören. Die gilt z. B. bei der 
Inobhutnahme von Kindern und Jugend- 
lichen (8 42 Abs. 3 5. 3 SGB VIII), insbe- 
sondere auch von unbegleiteten min- 
derjährigen Flüchtlingen (8 42a Abs. 1 
SGB VII). Die Regeln zur elterlichen Sor- 
ge sind jeweils zu übertragen. 

Da die elterliche Sorge vorrangig dem 
Interesse des Kindes dienen soll, stellt 
sich die Frage, ob und inwieweit bei einer 
gesetzlichen Vertretung dem Willen des 
Minderjährigen entsprochen werden 
muss. Bei medizinischen Eingriffen ist 
anerkannt, dass den Minderjährigen bei 
schwerwiegenden Eingriffen bei ausrei- 
chender Urteilsfähigkeit ein Vetorecht 
zugestanden wird." Dies ist auf den Da- 
tenschutz übertragbar. Eine weiterge- 
hende Form der Einbeziehung des Kindes 
besteht darin, kumulativ sowohl die Ein- 
willigung des Kindes wie die der Eltern zu 
fordern. Dies ist insbesondere angezeigt, 
wenn unklarist, ob beim Kind möglicher- 


weise schon die für die Entscheidung 
nötige Einsichtsfähigkeit vorliegt. Ent- 
sprechendes gilt bei Eingriffen in die In- 
timsphäre sowie bei solchen, die an den 
Kernbereich privater Lebensgestaltung 
des Minderjährigen heranreichen.” 

Bei der Bewertung des Verhältnisses 
zwischen Eltern und Kind ist zwischen 
Innenverhältnis und Außenbezie- 
hungen zu unterscheiden. So kann 
eine elterliche Entscheidung gegenüber 
dem Kind eine unzulässige Beeinträch- 
tigung sein, die aber für Dritte dennoch 
als wirksam angesehen werden muss, 
etwa weil sie nicht erkennen oder gar 
erkennen können, dass damit eine Kin- 
deswohlgefährdung verbunden ist. 


4. Einwilligung und Vertrag nach der 
DSGVO 


Angesichts der obigen Erwägungen zu 
Kindesentwicklung und zur Einsichtsfä- 
higkeit insbesondere im Außenverhält- 
nis war es dem DSGVO-Gesetzgeber mög- 
lich, die Voraussetzungen für die Verar- 
beitung von Kinderdaten an bestimmten 
Altersgrenzen zu orientieren. Die DSGVO 
enthält aber kein Gesamtkonzept zum 
Schutz der informationellen Selbstbe- 
stimmung von Kindern." 


4.1. Einwilligung bei Mediendiensten 


Die Regelung zurEinwilligung von Kin- 
dern in die Datenverarbeitung in Art. 8 
DSGVO beschränkt sich auf die Verarbei- 
tung bei Diensten der Informations- 
gesellschaft. Gemäß Art. 1 Abs. 1 Richt- 
linie (EU) 2015/1535 fällt darunter u.a. 
eine Dienstleistung, die mittels Geräten 
für die elektronische Verarbeitung (ein- 
schließlich digitaler Kompression) und 
Speicherung von Daten am Ausgangs- 
punkt gesendet und am Endpunkt emp- 
fangen wird sowie eine auf individuel- 
len Abruf eines Empfängers erbrachte 
Dienstleistung, bei der eine Übertragung 
von Daten auf individuelle Anforderung 
erbracht wird. Nicht erforderlich ist eine 
entgeltliche Leistung; es genügt, wenn 
die Leistung von einem Anbieter zu 
Werbezwecken für durch ihn verkaufte 
Güter oder angebotene Dienstleistun- 
gen erbracht wird.'° Dienstleistung ist 
zu verstehen als selbständige Leistung 
im Rahmen der Dienstleistungsfreiheit, 
die nicht den anderen Grundfreiheiten 
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des AEUV (Waren-, Personen- und Ka- 
pitalverkehr) unterfällt.”° Auf welcher 
vertraglichen Grundlage die Leistung 
erbracht wird, spielt keine Rolle. 

Weitere Voraussetzung für die An- 
wendung des Art. 8 DSGVO ist, dass der 
Dienst der Informationsgesellschaft 
dem Minderjährigen direkt angeboten 
wird. Die Regelung des Art. 8 Abs. 1 
DSGVO soll alle Dienste erfassen, die 
auf die Bedürfnisse von Kindern zuge- 
schnitten sind. Erfasst sind auch sol- 
che, die zugleich auch für Erwachsene 
bestimmt sind.?' 

Soll eine Datenverarbeitung zu einem 
Kind auf Grundlage einer Einwilligung 
gemäß Art. 6 Abs. 1 lit. a DSGVO zu- 
lässig sein, so erteilt diese nach Art. 8 
Abs. 15. 1 DSGVO vom 16. vollendeten 
Lebensjahr an das Kind selbst. Gemäß 
Art. 8 Abs. 15. 3 DSGVO können die Mit- 
gliedstaaten durch Rechtsvorschriften zu 
diesen Zwecken eine niedrigere Alters- 
grenze vorsehen. Eine solche Regelung 
hat Deutschland nicht erlassen. 

Bei Kindern bzw. Jugendlichen un- 
ter 16 Jahren gelten die in Art. 8 Abs. 1 
S. 2 DSGVO niedergelegten Grundsät- 
ze, wonach der Träger der elterlichen 
Verantwortung für das Kind oder mit 
dessen Zustimmung die Einwilligung er- 
teilt.” Träger der elterlichen Verantwor- 
tung sind im Normalfall die Eltern, die 
das Kind zumeist gemeinsam nach den 
88 1626, 1626a, 1629 BGB vertreten. Ein 
Elternteil kann den anderen ermäch- 
tigen, die Einwilligung für das Kind zu 
erklären. Die Einwilligung kann durch 
die Eltern selbst erfolgen; möglich ist 
auch - soweit beim Kind die erforder- 
liche Einsichtsfähigkeit besteht - dass 
das Kind das Vorliegen der Einwilligung 
der Eltern bestätigt.?° 

Für die 13- bis 15-jährigen wurde in 
Art. 8 DSGVO keine europäische Vollhar- 
monisierung erreicht. Auch wenn der 
deutsche Gesetzgeber von der spezifi- 
schen nationalen Regelungsmöglichkeit 
durch die Öffnungsklausel des Abs. 1 
S. 3 keinen Gebrauch gemacht hat, hat 
dies nicht zur Folge, dass für diese Al- 
tersgruppe in Deutschland - wie vor dem 
Wirksamwerden der DSGVO - auf die Ein- 
sichtsfähigkeit abgestellt werden dürfte. 
Zweck der Regulierung war es, an die 
Stelle der nur im Einzelfall feststellbaren 
Einsichtsfähigkeit generell auf rechtssi- 
chere klare Abstufungen zu setzen. ”* 


DANA ® Datenschutz Nachrichten 4/2019 


Bei Kindern unter 13 Jahren nimmt 
Art. 8DSGVO insofern eine Vollharmoni- 
sierung vor, dass immer die Einwilligung 
der Eltern erforderlich ist.”° Dahinter 
steht die Erwägung, dass die Kinder in 
diesem Alter mit den sich aus der Nut- 
zung von Digitalgeräten möglicher- 
weise ergebenden Problemen bei deren 
Eintritt nicht allein gelassen werden 
sollen. ?° 


4.2 Einwilligung ansonsten 


Da die Regelung des Art. 8 Abs. 1 DS- 
GVO nur „in Bezug auf Dienste der In- 
formationsgesellschaft“ anwendbar ist, 
stellt sich die Frage, wie bei Minderjäh- 
rigen ansonsten zu verfahren ist. Diese 
Frage stellt sich bei Verarbeitungen von 
Bildern und sonstigen Daten in Sport- 
vereinen, bei Pfadfindern oder generell 
bei analogen Freizeitbetätigungen. 
Art. 8 Abs. 1 DSGVO ist auch nicht an- 
wendbar, wenn Daten und Bilder über 
Dienste der Informationsgesellschaft 
kommuniziert werden, ohne dass diese 
sich direkt an Kinder, vielmehr generell 
an die Öffentlichkeit wenden. 

Da insofern in der DSGVO keine Rege- 
lung besteht, bleibt es bei der Rechtsla- 
ge, die vor Wirksamwerden der DSGVO 
galt: Einwilligende sind einwilligungs- 
fähig, wenn sie in der Lage sind, die 
Bedeutung ihrer Erklärung zu erfassen. 
Bei der Feststellung der Einsichtsfä- 
higkeit sind Art, Umfang, Anlass und 
Zweck der jeweiligen Datenverarbeitung 
zu berücksichtigen.” Nach Vollendung 
des 16. Lebensjahrs ist generell von der 
Einsichtsfähigkeit auszugehen.” 


4.3 Verträge von Minderjährigen 


In Art. 8 Abs. 3 DSGVO ist geregelt, 
dass der Abs. 1 das allgemeine Vertrags- 
recht der Mitgliedstaaten, wie etwa 
die Vorschriften zur Gültigkeit, zum 
Zustandekommen oder zur Rechtsver- 
folgung eines Vertrags in Bezug auf 
ein Kind, unberührt lässt. Dies betrifft 
auch Verträge, die Datenverarbeitung 
als Gegenstand haben. In diesen Fällen 
verweist die DSGVO auf das national- 
staatliche Zivilrecht, in Deutschland 
also auf die 88 104 ff. BGB. 

Bevor auf diese Regelungen näher 
eingegangen wird, muss die Frage be- 
antwortet werden, wann ein (schuld- 


rechtlicher) Vertrag mit Folgen für die 
Datenverarbeitung anzunehmen ist. In- 
zwischen ist allgemein anerkannt, dass 
auch bei einer unentgeltlichen Inan- 
spruchnahme von Online-Dienstleis- 
tungen ein Vertrag Grundlage ist, wenn 
die Gegenleistung des Nutzenden in 
der Bereitstellung seiner Daten z. B. für 
Werbezwecke liegt. Irgendein „Entgelt“ 
genügt. Nach 8 312 Abs. 1 BGB sind die 
Regelungen zur Umsetzung der Verbrau- 
cherrechterichtlinie” anzuwenden, 
wenn diese „eine entgeltliche Leistung” 
zum Gegenstand haben. Werden also 
anstelle von Geld von einem Verbrau- 
cher Daten als Entgelt bereitgestellt, so 
haben wir es mit einem Verbraucherver- 
trag zutun. Diesistz.B. beider Nutzung 
von sozialen Netzwerken oder Apps der 
Fall, deren Nutzung durch die Verbrau- 
cher die Verwendung von deren Daten 
für Werbezwecke bedingt.” Diese Sicht 
wird bestätigt durch die Richtlinie über 
vertragsrechtliche Aspekte der Bereit- 
stellung digitaler Inhalte und digitaler 
Dienstleistungen (DIRL).”! Erfasst wer- 
den gemäß Art. 3 Abs. 1 DIRL alle Ver- 
braucherverträge über digitale Inhalte 
und Dienstleistungen, für die „der Ver- 
braucher einen Preis zahlt”, wobei dies 
gemäß Art. 2 Nr. 7 DIRL auch „eine digi- 
tale Darstellung eines Werts“ sein kann, 
die vom Verbraucher im Austausch „ge- 
schuldet wird”. Die Erwägungsgründe 
zur DIRL stellen klar, dass die DSGVO 
voll zur Anwendung kommt (ErwGr. 37 
DIRL). Ausschlaggebendes Merkmal für 
die Annahme einer Einwilligung, also 
nicht eines Vertrags, ist gemäß ErwGr 
39 DIRL deren Widerrufbarkeit (Art. 7 
Abs. 3 DSGVO). 

Eine klare Abgrenzung zwischen Ver- 
trag und Einwilligung wird auch durch 
Art. 7 Abs. 4 DSGVO nicht erreicht. Ab- 
grenzungskriterium ist dabei nicht die 
Widerrufbarkeit, sondern schon bei der 
Erklärung die Freiwilligkeit. Diese soll 
nicht vorliegen, wenn sie für die Erfül- 
lung des Vertrags nicht erforderlich ist. 
Die Regelung wird als Koppelungsver- 
bot bezeichnet: Es soll unzulässig sein, 
eine für die Vertragserfüllung nicht nö- 
tige Einwilligung mit einem Vertragsab- 
schluss zu koppeln. Der Vertragsinhalt 
und damit, was für die Vertragsabwick- 
lung „erforderlich“ ist, wird regelmäßig 
nicht vom Verbraucher, sondern vom 
Unternehmen festgelegt. Gerade wenn 
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Daten als Gegenleistung eingefordert 
werden, lässt sich deren „Erforderlich- 
keit“ nicht nach klaren Kriterien über- 
prüfen. Letztlich läuft die Regelung da- 
raufhinaus, dass die Aufsichtsbehörden 
und Gerichte die Abgrenzung vorneh- 
men müssen, indem sie bestimmte Kop- 
pelungen als treuwidrig oder Verstoß 
gegen die guten Sitten beanstanden.” 

Aus dem oben Gesagten ergibt sich, 
dass ein Vertragi.S.v. Art.6 Abs. 1lit. c 
DSGVO mit einem Minderjährigen (über 
die Nutzung eines Dienstes der Infor- 
mationsgesellschaft) zustande kommt, 
wenn der Minderjährige keine Möglich- 
keit hat, der Nutzung seiner Daten, die 
nicht für die Erbringung des Dienstes 
erforderlich sind, zu widersprechen. 
Die Wirksamkeit des Vertrages richtet 
sich dann gemäß Art. 8 Abs. 3 DSGVO 
nach den 88 104 ff. BGB. Unwirksam 
gemäß den rechtsgeschäftlichen Regeln 
sind danach Verträge mit Kindern unter 
sieben Jahren (88 104 Nr. 1, 105 Abs. 1 
BGB). Minderjährige zwischen dem 7. 
und dem 18. Lebensjahr sind beschränkt 
geschäftsfähig (& 106 BGB). Verträge 
sind in dieser Altersspanne wirksam, 
wenn sie für den Minderjährigen ledig- 
lich einen rechtlichen Vorteil erbringen 
oder der gesetzliche Vertreter zuge- 
stimmt hat oder die „vertragsmäßige 
Leistung mit Mitteln bewirkt” wird, die 
dem Minderjährigen „zu diesem Zwecke 
oder zur freien Verfügung” überlassen 
worden sind (Taschengeldparagraf) 
(88 107-110 BGB). 


4.4 Die Rolle der Eltern 


Die Eltern sind also weiterhin nach 
den aktuell geltenden Regelungen bis 
zum 16. oder gar bis zum 18. Lebensjahr 
wichtig. Ob und was sie erlauben, ist für 
die Datenverarbeitung zu ihren Kindern 
zumindest bei bedeutenden Vorgängen 
bestimmend. Wie starr die Vorgaben ge- 
handhabt werden, hängt vom pädago- 
gischen Konzept der Eltern ab. Dieses 
soll sich natürlich am Kindeswohl aus- 
richten. Um altersgemäß vorzugehen, 
bietet es sich in der Praxis an, dass sie 
ihre Zustimmung im frühen Kindesalter 
jeweils in Einzelgenehmigungen ertei- 
len und im höheren Alter pauschalere 
und inhaltlich weitergehende Erlaub- 
nisse erteilen.’ Die Zustimmung kann 
dem Datenverarbeiter oder dem eigenen 
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Kind erteilt werden.°® Beschränkungen 
können die Eltern auch mit Hilfe von 
technischen Mitteln realisieren. 

Angesichts der oben dargestellten 
komplizierten Rechtslage dürften Eltern 
oft überfordert sein bei der Frage, ob 
ihre Kinder eine Datenverarbeitung über 
sich legitimieren dürfen oder ob sie als 
Erziehungsberechtigte hierbei (zwin- 
gend) gefordert sind. Als Richtschnur 
kann gelten, dass die Selbstbestim- 
mung der Kinder unter 13 Jahren prak- 
tisch in jedem Fall von der Zustimmung 
der Eltern abhängig gemacht werden 
kann. Bei Heranwachsenden zwischen 
16 und 18 Jahren bestehen dagegen nur 
sehr eingeschränkte Interventionsmög- 
lichkeiten. Zwischen 13 und 15 Jahren 
haben die Eltern Einflussmöglichkeiten. 
Letztlich läuft es - trotz aller Pauscha- 
lierungsbemühungen des Gesetzgebers 
für die Dienstebetreiber - darauf hin- 
aus, dass die Eltern auf die Einsichtsfä- 
higkeit abstellen müssen. Je älter und 
einsichtiger die Heranwachsenden wer- 
den, umso mehr Selbstbestimmungs- 
möglichkeiten sind ihnen einzuräumen. 
Zwar sieht die DSGVO nicht das Erfor- 
dernis einer doppelten Einwilligung von 
Eltern und Kind vor, doch sollten alle 
Beteiligten einen Konsens anstreben 
(Double-Opt-in-Verfahren).*° Mit der 
„Zustimmung“ des Kindes sind die EI- 
tern auf der sicheren Seite (Art. 8 Abs. 
1S. 2 letzte Alt. DSGVO).? 


5. Verarbeitung ohne und gegen den 
Kindeswillen 


Die Unart vieler Eltern ohne und ge- 
gen den Willen ihrer Kinder Daten über 
diese im Internet zu veröffentlichen, 
führt zu der Frage, ob bzw. inwieweit 
dies überhaupt zulässig ist. Das schein- 
bar unreflektierte Posting von Baby- 
und Kinderfotos oder -videos stößt auf 
Kritik und führt zu rechtlichen Über- 
legungen. Hoch umstritten - pädago- 
gisch wie rechtlich - sind auch Über- 
wachungsmaßnahmen der Eltern, mit 
denen diese für ihre Kinder mehr Sicher- 
heit gewährleisten wollen. 

Bei solchen Aktivitäten handeln die 
Eltern als Verantwortliche.” Wegen der 
eigenständigen Grundrechtsfähigkeit 
ihrer Kinder sind diese von einer Daten- 
verarbeitung durch dritte Verantwort- 
liche „Betroffene“. Es verbietet sich in- 


sofern Eltern und Kinder als rechtliche 
Einheit zu behandeln. Dies hat zur Fol- 
ge, dass es für die Verarbeitung der Kin- 
desdaten einerrechtlichen Legitimation 
gemäß Art. 6 DSGVO bedarf.” 

Etwas anderes gilt freilich, wenn die 
Eltern für ihr Kind in dessen Namen 
tätig werden. Dies gilt z. B. für eine Ein- 
zahlung von Erspartem auf ein Bank- 
konto des Kindes. Ein Minderjähriger 
kann auch als Verantwortlicher für eine 
Webseite handeln. Nehmen Eltern hier- 
bei für ihren Nachwuchs Änderungen 
vor, soist dies keine Drittdatenverarbei- 
tung. Voraussetzung ist aber, dass der 
Heranwachsende hiervon zumindest 
Kenntnis hat. 

Im engsten Familienkreis besteht ein 
ehrschutzfreier Raum.“ Dies bedeutet, 
dass Persönlichkeitsverletzungen in- 
nerhalb dieses Kreises nur in besonde- 
ren Ausnahmefällen rechtlich geltend 
gemacht werden können. Dies findet 
auch seinen Ausdruck in der Haus- 
haltsausnahme des Art. 2 Abs. 2 lit. c 
DSGVO. Die DSGVO ist demnach bei der 
„Ausübung ausschließlich persönlicher 
oder familiärer Tätigkeiten” nicht anzu- 
wenden. Etwas anderes gilt, wenn eine 
Datenverarbeitung über den familiären 
Bereich hinausreicht. Dies ist der Fall 
bei Baby- und Kinderfotos im Inter- 
net.*! Es ist auch der Fall beim Einsatz 
von Überwachungssoftware, bei der Da- 
tenübermittlungen an den Dienstleister 
und oft an weitere Stellen erfolgen.“? 

Als Legitimation kommt zunächst die 
Einwilligung in Betracht (Art. 6 Abs. 1 
lit. aDSGVO). Die können sich die Eltern 
bei ihren Kindern einholen. Fragwürdig 
dürfte in der Praxis dabei oft die Freiwil- 
ligkeit sein. Dann stellt sich die Frage der 
Einsichtsfähigkeit. Fehlt die, so könnten 
die Eltern als gesetzliche Vertreter ihrer 
Kinder handeln, also sich selbst eine 
Einwilligung zur Verarbeitung erteilen. 
Dies ist aber ein sog. Insichgeschäft, 
das gemäß & 181 BGB verboten ist: Ein 
Vertreter kann, soweit nicht ein anderes 
ihm gestattet ist, im Namen des Vertre- 
tenen mit sich im eigenen Namen oder 
als Vertreter eines Dritten ein Rechtsge- 
schäft nicht vornehmen, es sei denn, dass 
das Rechtsgeschäft ausschließlich in der 
Erfüllung einer Verbindlichkeit besteht. 
Auch wenn die Regelung auf Rechtsge- 
schäfte beschränkt ist, ist die zugrunde 
liegende Erwägung auf die Datenverar- 
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beitung übertragbar, was eine Einwilli- 
gung der Eltern für eine eigene Nutzung 
verbietet.“ 

In Frage kommt eine Legitimation der 
Verarbeitung von Kindesdaten durch die 
Eltern nach Art. 6 Abs. 1lit. c oderlit. e 
DSGVO. Es kann aber nur selten ange- 
nommen werden, dass die Verarbeitung 
„zur Erfüllung einer rechtlichen Ver- 
pflichtung erforderlich ist”. Derartige 
Verpflichtungen lassen sich annehmen 
bei rechtlich geforderten Übermittlun- 
gen in bestimmten Lebenssituationen, 
etwa dem Vorzeigen des Ausweises bei 
einem Grenzübertritt oder bei Angaben 
zum Kind in einer Steuererklärung. Es 
besteht aber keine Verpflichtung zur 
Online-Präsentation eines Kindes; auch 
die technische Überwachung des eige- 
nen Kindes dürfte nur in sehr spezifi- 
schen Risikosituationen zur rechtlichen 
Pflicht gerinnen. 

Näher liegend ist es, bestimmte For- 
men der Verarbeitung als eine Aufga- 
benwahrnehmung „im öffentlichen 
Interesse” einzustufen. Es ist unbe- 
streitbar, dass das Wahrnehmen der 
elterlichen Sorge nach $ 1626 BGB im 
„öffentlichen Interesse” liegt (lit. e). Da 
in lit. e Hoheitsträger sich i. d. R. auf 
die 2. Alternative „Ausübung Öffentli- 
cher Gewalt” berufen können, gilt die 1. 
Alternative vor allem für Private, wozu 
auch Eltern in ihrer sorgenden Funktion 
zählen. Um einen informationellen Ein- 
griff legitimieren zu können, muss das 
jeweilige öffentliche Interesse ein sol- 
ches Gewicht haben, dass die Maßnah- 
me verhältnismäßig ist.‘ Sie muss sich 
auf das absolut Notwendige beschrän- 
ken.“ Das Veröffentlichen von Kinder- 
bildern kann hierüber definitiv nicht 
gerechtfertigt werden; bei technischer 
Kinderüberwachung kommt es - ab- 
hängig von der Gefahrenlage - auf das 
Ergebnis der Verhältnismäßigkeitsprü- 
fung an. Da regelmäßig weniger über- 
wachungsintensive Alternativmaßnah- 
men zur Gewährleistung der Sicherheit 
der Kinder möglich sind, dürfte diese 
Regelungsalternative eine Verarbeitung 
nur selten rechtfertigen. 

Schließlich ist eine Verarbeitung er- 
laubt zur Wahrung berechtigter Inte- 
ressen, sofern nicht Schutzinteressen 
des Kindes überwiegen (Art. 6 Abs. 1 
lit. £DSGVO). Die Regelung erwähnt den 
Kindesschutz ausdrücklich. Meinungs- 
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äußerungen erfolgen i. d. R. in Wahr- 
nehmung eines berechtigten Interesses. 
Auch die öffentliche Selbstdarstellung 
ist ein berechtigtes Interesse. Diese 
darf sich aber nicht zulasten des Kindes 
auswirken. Die Dokumentation eines 
öffentlichen Ereignisses ist eher berech- 
tigt als die Darstellung eines privaten 
Vorgangs. Eine Online-Bereitstellung 
von Kindesbildern kann nur als zuläs- 
sig angesehen werden, wenn adäquate 
Schutzmaßnahmen ergriffen werden. 
Diese können in einer Zugriffsbeschrän- 
kung auf eine Nutzergruppe bestehen. 
Mit einer Verpixelung von Gesichtern 
oder anderen Anonymisierungsmaß- 
nahmen kann eine Identifizierung er- 
schwert oder verhindert werden.‘® 

Die Wahrnehmung der elterlichen 
Sorge nach 8 1626 BGB ist nicht nur 
eine öffentliche Aufgabe, sondern auch 
ein berechtigtes Interesse der Eltern. 
Bei der Erforderlichkeitsprüfung nach 
lit. fmuss ein weniger strenger Maßstab 
als bei lit. e angelegt werden. Wegen 
der Kindeswohlorientierung ist aber 
das Kind vor der jeweiligen Maßnahme 
einzubeziehen.” Zudem ist darauf zu 
achten, dass keine sensitiven Daten, 
etwa zur Gesundheit erfasst werden, 
da insofern ein zusätzlicher Legitima- 
tionsbedarf gemäß Art. 9 Abs. 2 DSGVO 
besteht.‘ Auch das Tracking, bei dem 
Bewegungsprofile entstehen, ist als be- 
sonders sensitiv anzusehen (vgl. & 98 
TKG).“ 

Die elterliche Kindesüberwachung 
wird problematischer, wenn auch die 
Daten Dritter erfasst werden. Das Recht 
zur elterlichen Sorge legitimiert i. d. 
R. nur die Verarbeitung der Daten des 
Kindes. Die Daten Dritter werden aber 
oft miterfasst, etwa zwangsläufig bei 
einer akustischen oder optischen Kon- 
trolle. Ohne eine angemessene Berück- 
sichtigung von deren schutzwürdigen 
Interessen geht es nicht. Lässt sich die- 
se nicht umsetzen, so ist die Überwa- 
chungsmethode unzulässig. 

In diesem Zusammenhang soll kurz 
auf die Frage eingegangen werden, 
inwieweit die seit 1907 geltenden Re- 
gelungen des Kunsturhebergesetzes 
(KUG) mit dem Wirksamwerden der DS- 
GVO weitergelten. Diese machen Aussa- 
gen zur Veröffentlichung von Bildern 
- auch von Kindern - und setzen bei 
einer Identifizierbarkeit regelmäßig die 


Zustimmung des Betroffenen voraus. Da 
das KUG schematische Vorgaben macht 
und keine Abwägung vorsieht, muss das 
KUG, trotz der Öffnungsklauselin Art. 85 
DSGVO als obsolet angesehen werden. 
Die dort genannten Regelbeispiele kön- 
nen aber als Abwägungskriterien nach 
Art. 6 Abs. 1 lit. £ DSGVO Berücksichti- 
gung finden.’ 

Ein Spezialfall, bei dem die Daten 
Dritter mit erfasst werden, ist die Kon- 
trolle der Telekommunikation des 
Kindes. Hier steht nicht nur der Daten- 
schutz, sondern auch das Telekommu- 
nikationsgeheimnis (Art. 10 GG, Art. 7 
GRCh, & 88 TKG) auf dem Spiel, das 
nicht nur das Kind, sondern auch des- 
sen Kommunikationspartner schützt. 
Der Schutz beschränkt sich aber auf die 
Informationsübermittlung. Er endet, 
wenn eine Nachricht beim Empfänger 
angekommen ist und von diesem abge- 
rufen wurde, so dass er diese zur Kennt- 
nis nehmen und evtl. weiterverarbeiten 
konnte.°' Wurde also eine Kommunika- 
tion vom Kind abgerufen und auf sei- 
nem Mobilgerät dargestellt, stehen die 
dabei erlangten Daten in der zunächst 
unbeschränkten Verfügungsmacht des 
Kindes. Greifen die Eltern hierauf zu, 
so ist das Kommunikationsgeheimnis 
nicht mehr tangiert. Dies gilt auch im 
Hinblick auf die Absender der Kommu- 
nikation. Der Absender einer Nachricht 
kann zwar darauf vertrauen, dass ein 
Telekommunikations-Diensteanbieter 
die Nachricht nur für das Empfänger- 
konto zur Verfügung stellt. Es besteht 
aber kein schutzwürdiges Vertrauen 
darauf, dass danach nur der Kontoinha- 
ber und nicht Dritte von dem Kontoin- 
halt Kenntnis erlangen. Er muss damit 
rechnen, dass der Empfänger Dritten 
Zugang gewährt.’ Der Schutz der Daten 
der Kommunikationspartner des Kin- 
des beschränkt sich darauf, dass deren 
Interessen im Rahmen einer Abwägung 
nach Art. 6 Abs. 1 lit. f DSGVO gewahrt 
werden müssen. 


6. Schlussfolgerungen 


Dadurch, dass die DSGVO den Daten- 
schutz von Kindern besonders betont, 
ist noch nicht viel gewonnen. Die Rege- 
lungsstruktur ist verwirrend, für juris- 
tisch nicht geschulte Eltern undurch- 
sichtig. Große Unsicherheit besteht, 
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ob und unter welchen Voraussetzungen 
Eltern für ihre Kinder über eine Daten- 
verarbeitung bestimmen können. Die 
hierzu vorliegenden Meinungen in der 
Datenschutzliteratur und in der Recht- 
sprechung liefern kein klares Bild. Die 
elterliche Sorge stellt unzweifelhaft ein 
berechtigtes Interesse dar; ebenso un- 
zweifelhaftist aber, dass auch die Eltern 
das Recht ihrer Kinder auf informatio- 
nelle Selbstbestimmung sowie sonstige 
Grundrechte beachten müssen. Bisher 
ist das Thema der Datenverarbeitung 
zu Kindern ein Thema für Untergerich- 
te, wobei deren datenschutzrechtliche 
Weisheit manchmal eher begrenzt ist. 
Es wäre daher wünschenswert, wenn es 
wegen zentraler Grundsatzfragen zur 
Vorlage beim Europäischen Gerichts- 
hof kommen würde, der europaweit 
verbindliche Vorgaben machen kann. 
Eines ist jedenfalls klar: Angesichts der 
Digitalisierung des Lebens von Kindern 
und Jugendlichen gewinnen damit ver- 
bundene Rechtsfragen zunehmend an 
Bedeutung. 


1 Weichert, DANA 3/2019, 142; Weichert, 
DuD 2018, 150. 


2 Spickhoff, FamRZ 2018, 412 f.; Möhrke- 
Sobolewski/Klas, K&R 2016, 373. 


3 BVerfG 29.07.1968 - 1 BvL 20/63, 1 BvL 
31/66, 1 BvL5/67, Rn. 43, 60 (3. LS), 
NJW 1968, 2233 = FamRZ 1968, 578, 
Spickhoff, FamRZ 2018, 419. 


4 Allgemein siehe z. B. Weichert, DuD 
2014, 402 ff. 


5 Möhrke-Sobolewski/Klas, K&R 2016, 
373. 


6 Siehe den Überblick bei Möhrke-Sobo- 
lewski/Klas, K&R 2016, 376. 


7 Soz.B. Kilian/Heussen-Weichert, 
Computerrechts-Handbuch, Stand Mai 
1993, Kap. 132 Rn. 154. 


8 Soz.B.Ordemann/Schomerus/Gola, 
BDSG, 5. Aufl. 1992, 84 Anm. 5.3; schon 
Auernhammer, BDSG, 1977, 83 Rn. 7. 


9 Soz.B.Schütte, NJW 1979, 592 f.; zur 
heutigen Rechtslage Ernst, DANA 2017, 
15; 


10 So Auernhammer, Bundesdatenschutz- 
gesetz, 3. Aufl. 1993, 84 Rn. 11. 


11 Spickhoff, FamRZ 2018, 416. 


12 Gola-Schultz, DS-GVO, 2. Aufl. 2018, Art. 
7 Rn. 8; zur urheberrechtlichen Einwilli- 
gung BGH 19.10.2011 -IZR 140/10, 

Rn. 18, 25, 27, vgl. Ernst DANA 2017, 14. 


194 


13 Simitis/Hornung/Spiecker-Klement, 
Datenschutzrecht, 2019, Art. 7 Rn. 37; 
Ernst, ZD 2017, 111; Simitis-Simitis, 
Bundesdatenschutzgesetz, 8. Aufl. 2014, 
& 4aRn. 39 f.: Bevollmächtigter ist allen- 
falls „Bote“. 


14 So Kühling/Buchner-Buchner/Kühling, 
DS-GVO BDSG, 2. Aufl. 2018, Art. 7 
Rn. 31; Gola/Schomerus, BDSG, 12. Aufl. 
2015, 84aRn. 25. 


15 Simitis/Hornung/Spiecker-Klement 
(En. 13), Art. 7 Rn. 37, Art. 8Rn. 25; zur 
Vertretung im Betreuungsverhältnis AG 
Gießen 16.07.2018 - 230 XVII 381/17 G. 


16 Buchner, FamRZ 2019, 668; BGH 
10.10.2006 - VIZR 74/05, 1.LS, Rn. 
17; NJW 2007, 217 = FamRZ 2007, 130; 
Spickhoff, FamRZ 2018, 421. 


17 Spickhoff, FamRZ 2018, 422. 


18 Häring/Nohr, DANA 4/2018, 186; Däub- 
ler/Wedde/Weichert/Sommer-Däubler, 
EU-Datenschutz-Grundverordnung und 
BDSG-neu, 2018, Art. 8Rn.3. 


19 EuGH 15.09.2016 - C-484/14. 


20 Kühling Buchner-Schröder (En. 14), 
Art. 4Nr. 26 Rn. 8. 


21 Däubler/Wedde/Weichert/Sommer- 
Däubler (En. 18), Art. 8 Rn. 5; Kühling/ 
Buchner-Buchner/Kühling (En. 14), 
Art.8 Rn. 15 f.; Paal/Pauly-Frenzel, 
DS-GVO BDSG, 2. Aufl. 2018, Art. 8Rn. 7; 
Ehmann/Selmayr-Heckmann/Paschke, 
DS-GVO, 2. Aufl. 2018, Art. 8 Rn. 20; 
Sydow-Kampert, Europäische Daten- 
schutzgrundverordnung, 2017, Art. 8 
Rn. 9. 


22 Diese Grenze wird von vielen als nicht 
mehr zeitgemäß angesehen, vgl. Hä- 
ring/Nohr, DANA 2018, 186. 


23 Däubler/Wedde/Weichert/Sommer- 
Däubler (En. 18), Art. 8 Rn. 8£.; Küh- 
ling/Buchner-Buchner/Kühling 
(En. 14), Art. 8 Rn. 20. 


24 Kühling/Buchner-Buchner/Kühling 
(En. 14), Art.8 Rn. 3, 22; a. A. wohl 
Paal/Pauly-Frenzel (En. 21), Art. 8 
Rn. 18. 


25 Kühling/Buchner-Buchner/Kühling 
(En. 14), Art. 8 Rn. 22. 


26 AG Bad Hersfeld 15.05.2017 - F 120/17 
EASO, S. 21. 


27 Simitis/Hornung/Spiecker-Klement 
(En. 13), Art. 8 Rn. 10. 


28 Simitis/Hornung/Spiecker-Klement 
(En. 13), Art. 8 Rn. 12. 


29 VRRL, Richtlinie 2011/83/EU v. 
25.10.2011, ABl. L304 v. 22.11.2011, 
S. 64. 


30 Halm, DANA 2017, 12 £. 


31 DIRL, Richtlinie (EU) 2019/770 v. 
20.05.2019, ABl. L136/1v. 22.05.2019, 
umzusetzen bis zum 01.07.2021. 


32 Halm, DANA 2017, 11. 
33 Engeler, ZD 2018, 60. 


34 Für die Zulassung einer pauschalierten 
Vorsorgevollmacht zur Datenverarbei- 
tung Buchner, FamRZ 2019, 670. 


35 Simitis/Hornung/Spiecker-Klement 
(En. 13), Art. 8 Rn. 26. 


36 Möhrke-Sobolewski/Klas, K&R 2016, 
377£. 


37 Buchner, FamRZ 2019, 668. 
38 Buchner, FamRZ 2019, 666 £. 
39 Buchner, FamRZ 2019, 669. 


40 OLG Frankfurt 17.01.2019 - 16 W 54/18, 
AfP 2018, 166. 


41 Buchner, FamRZ 2019, 666. 
42 Buchner, FamRZ 2019, 667 £. 
43 Buchner, FamRZ 2019, 667. 


44 Simitis/Hornung/Spiecker-Roßnagel 
(En. 13), Art. 6 Abs. 1Rn. 71; zum 
Verhältnis Betreuer-Betreuter Buchner, 
FamRZ 2019, 669. 


45 Simitis/Hornung/Spiecker-Roßnagel 
(En. 13), Art. 6 Abs. 1 Rn. 77; EuGH 
16.12.2008 - C-73/07 Rn. 56; EuGH 
21.12.2016 - C-203/15 u. c-698/15, 
Rn. 96. 


46 Buchner, FamRZ 2019, 667. 
47 Buchner, FamRZ 2019, 668. 
48 Buchner, FamRZ 2019, 669. 


49 Weichert, Geomarketing und Daten- 
schutz, in: LDINRW, Living by Numbers, 
2005, 135 ff.; Buchner, FamRZ 2019, 
668. 


50 Benedikt/Kranig, ZD 2019, 6. 


51 BVerfG 13.11.2010 - 2 BvR 1124/10, 
Rn. 13, WM 2011, 211 =K&R 2011, 320; 
mit Verweis auf BVerfG 02.03.2006 - 2 
BvR 2099/04, Rn-. 72 f., BVerfGE 115, 
166 = NJW 2006, 976; ebenso BVerfG 
27.02.2008 - 1 BvR 370/07, 1BvR 
595/07 Rn. 185. 


52 BGH 12.07.2018 - IIIZR 183/17 
Rn. 73, NIW 2018, 3178 =DuD 2018, 
647; Buchner, FamRZ 2019, 670. 


DANA ® Datenschutz Nachrichten 4/2019 


Susanne Holzgraefe 


Fotos von Kindern und Jugendlichen 


Bild: ClipDealer 


Vorwort 


Fotos von Kindern und Jugendlichen 
sind nicht nur in Kindergärten, Kinder- 
tagesstätten und Schulen ein Thema, 
sondern auch in vielen Vereinen. Spen- 
den lassen sich besser sammeln, wenn 
Fotos von Kindern gezeigt werden. Esist 
ja auch nicht verboten, mit Kinderfotos 
Werbung zu machen. Es müssen ledig- 
lich alle Gesetze und Vorschriften zur 
Wahrung der Persönlichkeitsrechte der 
abgelichteten Kinder eingehalten wer- 
den. Das bedeutet, für alle identifizier- 
baren Kinder bedarf es einer rechtsgül- 
tigen Einwilligung aller Erziehungsbe- 
rechtigten, dass das Abbild des Kindes 
für die entsprechende Werbeaktion mit 
Angabe der Dauer der Werbung verwen- 
det werden darf. Die Dauer spielt hier 
eine nicht unerhebliche Relevanz. Wohl 
kaum ein Kind möchte auch nach fünf- 
zig Jahren noch immer sein Gesicht auf 
der Schokoladenverpackung im Handel 
sehen. Das ist nicht neu, sondern galt 
auch schon nach altem Recht. 

In vielen Einrichtungen herrscht eine 
große Unsicherheit, was das Thema Fo- 
tos angeht. „Dürfen wir Fotos von den 
Kindern in der Gruppe im Gruppenraum 
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aufhängen?” „Dürfen wir Fotos von den 
Kindern im Klassenzimmer aufhängen?” 
„Dürfen wir Fotos von Schülern in der 
Aula aufhängen?” „Dürfen wir den Eltern 
eine Mappe mit Fotos von der Veranstal- 
tung mitgeben?” „Dürfen die Besucher 
Fotos von der Bühnen-Aufführung der 
Kinder machen?” „Darfich noch die Ba- 
byfotos meiner Patientinnen in meiner 
Praxis aufhängen.” „Warum dürfen wir 
denn die Kinderfotos aus Afrika auch 
nur unter Berücksichtigung aller eu- 
ropäischen Gesetze und Vorschriften 
veröffentlichen?” „Was ist mit Gruppen- 
fotos?” „Ab wie viel Kindern auf einem 
Bild brauche ich keine Einwilligung?” 
„Dürfen Fotos von Veranstaltungen im 
Kindergarten oder der Schule gemacht 
werden?” „Wie sollen wir denn verhin- 
dern, dass die Kinder selbst Fotos ma- 
chen und ins Netz posten?” „Wirkönnen 
doch nichts dafür, wenn die Oma die 
Fotos, die sie während der Schulveran- 
staltung gemacht hat, ins Netz stellt.” 
„Mitgliederversammlungen sind doch 
private Veranstaltungen, da dürfen wir 
doch Kinderfotos zeigen, oder?” Fragen 
über Fragen. 

Fotos und Bilder bestimmen unseren 
Alltag. Ein Bild sagt mehr als tausend 


Worte. Und genau da liegt die Gefahr. 
Wer kennt sie nicht, die Fotos aus Kin- 
dertagen, die besser tief im Schrank 
vergraben im Fotoalbum der Familie 
vergessen werden. Die Gesetze und 
Vorschriften rund um den Datenschutz 
gelten natürlich auch, wenn die Kinder 
nicht aus der EU kommen, die Bilder 
aber im Geltungsbereich der entspre- 
chenden Gesetze und Vorschriften ver- 
teilt oder veröffentlicht werden. Die 
Datenschutzgrundverordnung (DSGVO) 
ist für alle Kinderfotos zu beachten, mit 
denen innerhalb der EU geworben oder 
berichtet wird, egal ob das Kind aus Af- 
rika, der Schweiz oder dem Weltraum 
stammt. 


Gewalt am Kind 


Es gibt Vertretende, die die ungeneh- 
migte Verteilung oder Veröffentlichung 
von Kinderfotos als Gewalt am Kind se- 
hen. Nein bleibt Nein. Wenn das Kind 
nicht fotografiert werden möchte, dann 
spielt das Alter des Kindes keine Rolle. 
Wenn das Kind „Nein“ sagt, dann darf 
kein Foto vom Kind gemacht werden. Für 
ein Kinderfoto müssen alle Erziehungs- 
berechtigten und das Kind „Ja“ sagen. 
Die DSGVO erlaubt zwar, dass Kinder ab 
einem Alter von sechzehn auch ohne 
Einwilligung der Eltern Diensten der In- 
formationsgesellschaft, wie Online Spie- 
len oder Sozialen Medien, zustimmen 
dürfen, aber hier ist dennoch das Erzie- 
hungsrecht zu beachten und genaustens 
zu prüfen, welche Art von Informationen 
Jugendliche hier preisgeben sollen. 

Bei Aktfotos von Sechzehn- oder 
Siebzehnjährigen ist es ratsam, wenn 
die Fotografen immer die Genehmi- 
gung aller Erziehungsberechtigten ein- 
holen, auch wenn das gegebenenfalls 
nicht von den Gesetzgebenden vorge- 
sehen ist und die Aufnahme rein künst- 
lerische Zwecke verfolgt. Eltern und 
auch Lehrende sollten junge Menschen 
frühzeitig darüber aufklären, dass das 
Aktfoto als Geburtstagsgeschenk für 
den Freund keine gute Idee ist, da die 
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Gefahr, dass es sehr schnell im Internet 
landet, sehr hoch ist. 

Eltern und Erziehungsberechtigte 
sollten sich wohl überlegen, wann sie 
zustimmen. Sie sollten auch darüber 
nachdenken, was passiert, wenn das 
Kind volljährig ist und so gar nicht mit 
der Veröffentlichung des Fotos einver- 
standen war. Wenn das erwachsene Kind 
unter der Veröffentlichung leidet. Wenn 
dem Kind durch die Veröffentlichung 
des Fotos ein Schaden entstanden ist. 
Zum Beispiel, weil die Person durch ein 
misszuverstehendes Foto den Job nicht 
bekommen hat oder das Kind wegen 
eines veröffentlichten Fotos gemobbt 
wurde. Könnte das erwachsene Kind hier 
Schadensersatz von den Eltern fordern? 
Haben die Eltern durch die Zustimmung 
psychische Gewalt am Kind zugelassen? 


Fotografieren verboten 


Werden Fotos im Kindergarten oder 
in der Schule aufgenommen, so ist die 
Schule oder der Kindergarten für die Fo- 
tos verantwortlich. Egal ob die Betreu- 
enden oder Eltern oder andere Besucher 
die Fotos geschossen haben. Tauchen 
Fotos aus der Einrichtung in der Presse 
oder in sozialen Medien auf, ohne dass 
die Einrichtung eine schriftliche Ein- 
willigung aller Erziehungsberechtigten 
nachweisen kann, kann es für die Ein- 
richtung erhebliche Probleme geben. 
Das gilt auch, wenn Fotos über den Zaun 
hinweg von spielenden Kindern aufdem 
Spielplatz der Einrichtung an die Öffent- 
lichkeit geraten. 

Daher sind Kindergärten, Schulen 
und andere Betreuungseinrichtungen 
gut beraten, wenn sie das Fotografie- 
ren auf ihrem Gelände verbieten. Eine 
durchgestrichene Kamera sichtbar an 
den Zäunen und im Eingangsbereich 
der Einrichtung aufgehängt, sollte 
hinreichend eindeutig sein. Den Eltern 
zusätzlich mit den Unterlagen zur An- 
meldung schriftlich den Hinweis mitzu- 
geben, dass auf dem gesamten Gelände 
Fotografieren, Filmen und Tonaufnah- 
men verboten sind, ist förderlich. Rat- 
sam ist auch, dass bei Veranstaltungen 
alle Besuchenden noch einmal explizit 
auf das Verbot aufmerksam gemacht 
werden. Das kann zum Beispiel während 
der Begrüßungsrede sein oder bei der 
Einlasskontrolle. Auf diese Weise hat 
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die Einrichtung die Chance den Scha- 
den nicht allein zu tragen, wenn Eltern 
oder Großeltern trotzdem heimlich Bil- 
der von den Kindern beim Krippenspiel 
machen und veröffentlichen. 

„Wir wollen aber doch Erinnerungs- 
fotos unserer Kinder” kommt häufig als 
Gegenwind von Eltern und anderen Ver- 
wandten, wenn sie mit der Tatsache des 
Fotoverbotes konfrontiert werden. Vor 
allem, wenn die Kinder ein Theater- oder 
Musikstück aufführen. Das ist natürlich 
kein Problem, denn selbstverständlich 
kann die Einrichtung professionelle 
Fotografen und auch die Presse akkre- 
ditieren, Fotos unter Einhaltung der 
datenschutzrechtlichen Bestimmungen 
aufzunehmen und zu veröffentlichen 
oder auch Fotos einzelner Kinder für 
das private Fotoalbum zu machen, die 
die Eltern dann (gegen Entgelt) erwer- 
ben können. Sobald die Kinder identi- 
fizierbar sind, also ihre Identität durch 
automatische Scanner feststellbar ist, 
ist aber dennoch eine Einwilligung aller 
abgelichteten Kinder sowie derer Erzie- 
hungsberechtigten erforderlich. 

Sollen die Fotos nur für das heimi- 
sche Fotoalbum verteilt werden, so ist 
es zwingend erforderlich, dass die Nut- 
zungsbedingungen klar und eindeutig 
dem Foto bei der Aushändigung mitge- 
geben werden. Bei Papierfotos ist es rat- 
sam, sie auf die Rückseite zu schreiben. 
Bei Jahres- und Erinnerungsbüchern ist 
es ratsam eine Seite am Anfang den Nut- 
zungsbedingungen zu widmen. 


Nutzungsbedingungen 


Dass Eltern und andere Verwandte 
gerne ein paar Erinnerungsfotos der 
Kinder haben möchten, ist verständlich. 
Egal ob vom Krippenspiel, der Einschu- 
lung, der Kindergarten-Abschiedsfahrt, 
der Konfirmation oder der Theaterauf- 
führung. Es gibt viele Ereignisse, die 
seit Generationen mit Fotos festgehal- 
ten und Jahre später in Fotoalben wie- 
derentdeckt werden. 

Fotos, die rein für den privaten Ge- 
brauch gedacht sind und auf denen nicht 
nur die eigenen Kinder sondern auch 
andere Kinder identifizierbar abgelichtet 
wurden, dürfen ohne Einverständnis der 
anderen Kinder und deren Erziehungsbe- 
rechtigten nicht weitergegeben, kopiert 
oder veröffentlicht werden. Veröffent- 


lichen bedeutet auch, in den sozialen 
Netzen teilen. Hier ist auch darauf zu 
achten, dass digitale Fotos nicht in un- 
sicheren Clouds von Drittanbietern oder 
auf unsicheren Servern landen. 

Das Risiko, dass Fotos, die nur zum 
rein privaten Gebrauch aufgenommen 
und an die Kinder beziehungswei- 
se deren Eltern verteilt wurden, doch 
(versehentlich) veröffentlicht oder an 
unbefugte Dritte weitergeleitet werden, 
ist extrem hoch, wenn die Fotos digital 
verteilt werden. Natürlich besteht auch 
ein Risiko, wenn die Fotos auf Papier 
verteilt werden, aber die Hürde ist hö- 
her. Daher ist es ratsam, wenn Erinne- 
rungsfotos für den privaten Gebrauch 
angefertigt werden, auf denen nicht nur 
das eigene Kind abgelichtet ist, sie aus- 
schließlich auf Papier zu verteilen und 
das Einscannen, was ja eine Form der 
Vervielfältigung ist, zu verbieten. 


Einwilligung 


Bevor ein Kind identifizierbar foto- 
grafiert wird, bedarf es der Einwilligung 
des Kindes und aller Erziehungsberech- 
tigten. Werden nicht alle Erziehungsbe- 
rechtigten gefragt, kann ein Kindergar- 
ten oder auch eine Schule schnell zum 
Spielball im Scheidungskrieg werden. 
Ein Elternteil hat zugestimmt, der ande- 
re wurde nicht gefragt und klagt jetzt, 
dass das Kind ohne sein Einverständnis 
fotografiert wurde. Daher sollten Ein- 
richtungen wie Schulen und Kindergär- 
ten stets die Einwilligung Aller einho- 
len. Identifizierbar heißt, dass das Kind 
durch automatische Bildscanner identi- 
fiziert werden kann. 

Eine Einwilligung muss zweckgebun- 
den sein. Der Zweck muss genausten 
beschrieben sein. Das heißt, es muss 
auf der Einwilligung klar und deutlich 
dargestellt werden, was mit den Auf- 
nahmen passiert, wann und wo genau 
sie veröffentlicht werden. Es ist zu 
empfehlen Kästchen zum Ankreuzen 
zu verwenden. Zum Beispiel: für die 
Verteilung zum privaten Gebrauch an 
alle Eltern der Gruppe, zum Aufhängen 
im Gruppenraum, zum Aufhängen in 
der Aula, für die lokale Presse, für Fly- 
er, für Soziale Medien und so weiter. 
Die Kästchen dürfen nicht vorausge- 
wählt werden. Soziale Medien sollten 
eventuell genauer spezifiziert werden. 


DANA ® Datenschutz Nachrichten 4/2019 


Zum Beispiel: Veröffentlichung auf dem 
YouTube-Kanal des Kindergartens, bei 
Facebook, im Dropbox-Portal des Kin- 
dergartens oder bei Weibo. 

Auch darf die Einwilligung keine Vor- 
teile bringen. Eine Nicht-Einwilligung 
darf nicht zu Nachteilen führen, denn 
sonst ist die Freiwilligkeit der Einwilli- 
gung nicht sichergestellt. 

Wichtig ist auch, die Dauer der Ver- 
wendung in der Einwilligung festzule- 
gen. Zum Beispiel: „Der Flyer wird ein 
Jahr lang verteilt.“, „Die Fotos bleiben 
ein Jahr auf unserer Webseite.”, „Für 
den Zeitungsbericht am 25.7.2020 zum 
Tag der offenen Kindergarten-Tür.”, 
„Der Beitrag im YouTube-Kanal wird 
nach einem Jahr gelöscht.” oder „Die 
Fotos liegen drei Monate in der Dropbox, 
dann werden sie gelöscht.” 

Zu bedenken ist stets, dass einer Ein- 
willigung jederzeit mit sofortiger Wir- 
kung widersprochen werden kann. Über- 
legen sich die Eltern, dass sie doch nicht 
möchten, dass der Kindergarten Flyer 
verteilt, in denen ihr Kind abgebildet 
ist, so können sie widersprechen und der 
Flyer darf mit sofortiger Wirkung nicht 
weiter verteilt werden. Das ist natürlich 
ärgerlich, wenn der Flyer grade frisch aus 
dem Druck gekommen ist. Widerspre- 
chen die Eltern Fotos, dieim Netz verteilt 
wurden, egal ob auf der Homepage des 
Kindergartens, auf dem YouTube-Kanal, 
bei Weibo oder Facebook, so ist das Bild 
beziehungsweise der Beitrag mit dem 
Bild unverzüglich zu entfernen. Wider- 
sprechen sie kurz vor Redaktionsschluss 
der Veröffentlichung in der lokalen Ta- 
geszeitung, so darf die Zeitung das Bild 
nicht veröffentlichen. 

Einwilligungen sollten aktuell sein. 
Eine Einwilligung für eine Veranstaltung, 
die erst in drei Jahren stattfindet, ist zu 
weit in die Zukunft gedacht. Wird sich 
für die Gestaltung eines Flyers an Fotos 
von vor drei Jahren erinnert, für die die 
Betroffenen vor drei Jahren eingewilligt 
haben, dass die Fotos für Flyer verwendet 
werden dürfen, so sehen einige Behör- 
den die Einwilligung als zu alt an. Eine 
Generaleinwilligung für die kommenden 
drei oder vier Jahre bei der Anmeldung 
im Kindergarten oder der Schule ist in 
den meisten Fällen nicht rechtswirksam. 

Eine explizite Einwilligung wird nicht 
benötigt, wenn es ein Gesetz gibt, das ein 
Lichtbild des Kindes vorschreibt, oder 
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wenn das Foto zum Schutz von Leib und 
Leben des Kindes dient. Ein Foto bei der 
Anmeldung, damit Erziehende und Be- 
treuende das Kind identifizieren können, 
ist sinnvoll. Das lässt sich im Vertrag mit 
der Betreuungseinrichtung vereinbaren 
und bedarf dann auch keiner weiteren 
Einwilligung. Auch bei Gruppenfotos ist 
eine Einwilligung erforderlich. 

Was häufig vergessen wird: Jede Ein- 
willigung bedarf auch der Aushändi- 
gung der entsprechenden Informationen 
nach Art. 13 bzw. 14 DSGVO. Zum einen 
zur Einwilligung selbst, da hier ja perso- 
nenbezogene Daten erhoben wurden, als 
auch für die geplante Fotoaktion. Wobei 
die Informationen für die Fotoaktion 
spätestens am Tag, an dem die Fotos ge- 
macht werden, verteilt werden sollte. 


Babyfotos bei Gynäkologen 


Wer kennt sie nicht? Die vielen Baby- 
fotos bei Gynäkologen und auf Wöch- 
nerinnen-Stationen. Sie geben vielen 
Frauen Kraft, die Schwangerschaft 
durchzustehen. Sie symbolisieren, dass 
auch komplizierte Schwangerschaften 
zu einem Happy End führen. Die Fotos 
hauchen den Praxen und den Stationen 
ein Gefühl von Leben, Glück und Zufrie- 
denheit ein. Wie aber ist das aus Sicht 
des Datenschutzes? 

Alleine, dass diese Frage immer wie- 
der gestellt wird, zeigt, wie groß die 
Verunsicherung in der Bevölkerung ist. 
Die Fotos werden von den Eltern an die 
Praxen beziehungsweise die Stationen 
geschickt. Die Eltern willigen hier ein 
beziehungsweise bitten sogar darum, 
dass die Fotos an den entsprechenden 
Stellen aufgehängt werden. 

Das einzige, was die Praxen und die 
Häuser beachten müssen, ist, dass sie 
den Eltern die Informationen entspre- 
chend Artikel 13 DSGVO aushändigen 
und das Aushängen der Babyfotos in 
das Verzeichnis der Verarbeitungstätig- 
keiten aufgenommen wird. 


Öffentliche Veranstaltungen 


Wenn Kinder bei einem Straßenumzug 
oder bei einer anderen öffentlichen Ver- 
anstaltung, die im Freien auf nicht ein- 
gefriedetem Gebiet stattfindet, fotogra- 
fiert werden und das Foto veröffentlicht 
wird, ist das etwas schwierig mit der Ein- 


willigung. Die Veranstaltungen sind öf- 
fentlich und solange es die Intention des 
Fotografen ist, die Veranstaltung bild- 
lich festzuhalten und nicht das Kind ist 
das gesetzlich erlaubt. Wenn die Veran- 
staltung im eingefriedeten Bereich statt- 
findet, wie in einem Stadion, braucht sie 
dafür, dass das Kind ohne Einwilligung 
fotografiert werden darf, ein großes Maß 
an öffentlichem Interesse. Beim Tag der 
Offenen Tür des Kindergartens oder bei 
der Schulaufführung ist die Einwilligung 
notwendig. 


Kinder veröffentlichen Fotos anderer 
Kinder 


Natürlich passiert es immer wieder, 
dass Kinder gefragt oder auch ungefragt 
Fotos von anderen Kindern machen und 
in den Sozialen Netzwerken verteilen. 
Hierbei nutzen die Kids heutzutage 
nicht nur Anbieter aus den USA, wie 
Facebook, Instagram, WhatsApp und so 
weiter, sondern gerne auch aus China, 
wie Weibo und WeChat. 

Wenn die Fotos auf dem Gelände ei- 
ner Betreuungseinrichtung oder wäh- 
rend der Betreuung in einer Schule 
entstanden sind, dann ist die Betreu- 
ungseinrichtung beziehungsweise die 
Schule verantwortlich. Lehrende und 
Betreuende sollten hier ein Auge darauf 
haben, dass die Schüler das Fotografier- 
Verbot einhalten. Es sollte Aufgabe der 
Erziehenden, sowohl der Eltern als auch 
der Lehrenden, sein die Kinder stetig zu 
sensibilisieren. 


Fazit 


Sensibilisieren von Eltern, Lehrenden 
und vor allem von Kindern und Jugend- 
lichen ist das A und 0. Der langfristig 
angerichtete Schaden eines unbedacht 
geposteten Foto eines Kindes kann 
enorm sein. Schulen, Kindergärten und 
Betreuungseinrichtungen sind gut be- 
raten, wenn sie das Fotografieren in ih- 
ren Einrichtungen verbieten. Wenn Fo- 
tos angefertigt werden, ist das zusam- 
men mit dem Prozess der Verarbeitung 
im Verzeichnis der Verarbeitungstätig- 
keiten aufzunehmen und die Kinder 
beziehungsweise die Erziehungsberech- 
tigten müssen die Informationen ent- 
sprechend Art. 13 beziehungsweise 14 
DSGVO nachweislich erhalten. 
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Klaus-Jürgen Roth 


Digitale Sorge, Mediennutzung und Datenschutz 


Bild: ClipDealer 


Wie gehen Kinder mit digitalen Me- 
dien um? Diese Frage stellt sich nicht 
nur für Datenschützer, sondern zuneh- 
mend auch für Jugendämter und Fami- 
liengerichte, die in immer mehr Fällen 
feststellen müssen, dass bestimmte 
Formen der Mediennutzung den Kin- 
dern schaden, nicht nur durch die 
unzulässige Verarbeitung personenbe- 
zogener Daten. Unsere Rechtsordnung 
bietet bisher keine spezifischen Ant- 
worten, wie diese Schäden verhindert 
werden können. Deshalb muss auf die 
allgemeinen Regelungen, insbesonde- 
re in 8 1626 BGB zurückgegriffen wer- 
den, der den Eltern die Aufgabe und 
die Pflicht auferlegt und zugleich das 
Recht gibt, für das minderjährige Kind 
zu sorgen. Dabei haben sie die wach- 
sende Fähigkeit und das wachsende Be- 
dürfnis des Kindes zu selbstständigem 
verantwortungsbewusstem Handeln zu 
berücksichtigen. 

In den letzten Jahren zog nun das 
Amtsgericht Bad-Hersfeld öffentliche 
Aufmerksamkeit auf sich, als es in Ent- 
scheidungen die elterliche Verantwor- 
tung konkretisierte und hervorhob.' 
Allen von diesem Gericht entschiedenen 
Fällen lagen familienrechtliche Streitig- 
keiten zwischen getrennt lebenden El- 


198 


tern zugrunde. Das Gericht lehnte sich 
bei seinen Beschlüssen oft weit aus dem 
Fenster, indem es exzessiv hoheitliche 
Befugnisse für sich in Anspruch nahm 
und manch aufgezeigte Gefahr für die 
Kinder übertrieb. Auch entsprachen 
die Datenschutzargumente des Gerichts 
nicht immer dem aktuellen Diskussions- 
stand. Dessen ungeachtet verdienen die 
Entscheidungen dieses Gerichts eine öf- 
fentliche Diskussion. 


- Gefahren 


Zentrale Frage war in allen Fällen, 
inwieweit das in & 1666 Abs. 1 BGB ge- 
regelte Kindeswohl gefährdet ist: Wird 
das körperliche, geistige oder seelische 
Wohl des Kindes oder sein Vermögen ge- 
fährdet und sind die Eltern nicht gewillt 
oder nicht in der Lage, die Gefahr abzu- 
wenden, so hat das Familiengericht die 
Maßnahmen zu treffen, die zur Abwen- 
dung der Gefahr erforderlich sind. 

Dass das Kindeswohl durch die Nut- 
zung digitaler Medien gefährdet sein 
kann, ist heute unbestritten. Die Ge- 
fährdung kann darin bestehen, dass 
hierüber Mobbing stattfindet. Eine 
spezifische Gefahr liegt in sexuell be- 
gründeten Kontaktaufnahmen durch 


Erwachsene, wobei für das Kind (zu- 
nächst) nicht erkennbar sein muss, 
dass der Kontaktpartner ein Erwach- 
sener ist. Beim Sexting werden Kinder 
veranlasst, Nacktbilder von sich zu 
erstellen und diese weiterzuleiten.? 
Schwerwiegende seelische Folgen für 
die Kinder können pornografische 
Darstellungen? sowie Gewaltpräsenta- 
tionen und -spiele haben.‘ Nicht nur 
das private Leben der Kinder, sondern 
auch deren Schulalltag wird von digi- 
talen Medien beeinflusst.? Schließlich 
ist Online-Sucht ein zunehmendes Pro- 
blem bei Heranwachsenden‘; die Ab- 
hängigkeit von digitalen Spielen führt 
zu Realitätsverlusten, dem Verlust so- 
zialer Kontakte sowie zu gesundheitli- 
chen Schäden. 

Gefährdungen des Kindeswohls 
entstehen auch durch Datenschutz- 
verletzungen.” Applikationsanbieter 
erstellen über Kinder umfassende Nut- 
zungsprofile, welche die Grundlage für 
Manipulationen, gezielte Werbung und 
finanzielle Ausbeutung sind. Das Aus- 
lesen von Kontakten und Adresslisten 
sowie das Ausspionieren von privaten 
Inhalten, z. B. von Kommunikation, 
Bildern, dem digitalen Tagebuch‘, kann 
zu massiven Eingriffen in die soziale 
Sphäre, in die Intimsphäre oder gar in 
den Kernbereich persönlicher Lebens- 
gestaltung führen. Informationen aus 
der Kinderzeit, etwa über seelische oder 
körperliche Störungen oder über kri- 
minelles Verhalten, können selbst im 
späteren Erwachsenenalter zu gravie- 
renden Nachteilen führen. Es geht da- 
bei aber nicht nur um Risiken für die Zu- 
kunft; möglich sind auch Auswirkungen 
auf die aktuelle Entwicklung des Kindes 
und damit auf das Kindeswohl. 


- Elterliche Maßnahmen 


Mit diesen digitalen Gefährdungen 
gehen zumeist Eingriffe in das allge- 
meine Persönlichkeitsrecht und in das 
Recht auf informationelle Selbstbe- 
stimmung der Kinder einher. Oft sind 
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zudem Kommunikationspartner der 
Kinder betroffen. Ohne entsprechende 
Interventionen der Eltern sind Kin- 
deswohlgefährdungen oft nicht abzu- 
wenden. Diese Interventionen zielen 
darauf ab, den Kindern den Zugang zu 
und die Nutzung von digitalen Inhalten 
und Kommunikationsmöglichkeiten zu 
begrenzen und zu gestalten, um über- 
mäßige Gefahren zu vermeiden. 

Zur Wahrung ihrer Sorge- und Auf- 
sichtspflichten müssen die Eltern grds. 
wissen, was ihre Kinder tun und mit 
welchen Personen sie sich abgeben. 
Dies gilt nicht nur für die reale analoge 
Welt, etwa für Kontakte mit Freunden, 
beim Sport, beim Musizieren oder bei 
sonstigen Aktivitäten. Dies gilt auch 
für digitale Kontakte und das Surfen 
und Spielen im Netz. Bei der dadurch 
notwendig werdenden Kontrolle der 
Kinder sind diese, soweit dies geht, 
einzubeziehen ($ 1626 Abs. 2 S. 2 
BGB).'? Die Kontrolle ist ein Eingriff in 
ihr allgemeines Persönlichkeitsrecht 
und darf deshalb nicht übermäßig und 
übergriffig sein. Bei der Kommunikati- 
onsüberwachung ist die Integrität des 
Kindes als eigenständiges Wesen und 
insbesondere dessen Intimsphäre zu 
beachten. 

Mögliche Formen elterlicher Inter- 
vention sind das Blockieren von Inhal- 
ten und Kontakten, das Deinstallieren 
von Applikationen'! oder die Beschrän- 
kung des kindlichen Zugriffs auf ge- 
prüfte Inhalte'?. Denkbar ist letztlich 
auch eine quantitative Begrenzung von 
Geräten’? und Nutzungszeiten'* bis hin 
zum vollständigen physischen Entzug 
des Smartphones, Tablets oder sonsti- 
gen elektronischen Geräts. 

Eine Form der Einflussnahme kann 
darin bestehen, dass die Eltern am di- 
gitalen Kommunikationsverhalten des 
Kindes beteiligt werden, etwa durch 
Mitlesenkönnen oder durch Alarmie- 
rung in programmtechnisch definierten 
Verdachts- oder Gefahrenfällen. Dies 
setzt, da damit in die Grundrechts- 
sphäre des Kindes eingegriffen wird, 
grundsätzlich dessen Zustimmung vo- 
raus. Durch die Einbindung der Eltern 
wird die Grundlage für einen Austausch 
zwischen den Eltern und den Kindern 
geschaffen, über den die Risiken einge- 
grenzt und gegenseitiges Vertrauen auf- 
gebaut werden können." 
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Genügt ein informeller Austausch 
nicht, so können Eltern und Kinder ge- 
halten sein, eine formelle Vereinba- 
rung über den Umgang mit digitalen 
Medien zu treffen. Darin können auch 
bestimmte Sanktionen bei Verstoß ge- 
gen die Vorgaben vorgesehen werden. "® 
Diese Sanktionen können bis zum Ent- 
zug der Nutzungsmöglichkeit des digi- 
talen Geräts gehen. Jede Vereinbarung 
zwischen Kind und Eltern setzt voraus, 
dass ihr Inhalt vom Kind nicht nur ver- 
standen, sondern auch akzeptiert wird. 
Dafür ist es nicht förderlich, wenn die 
Eltern den Kindern Medienabstinenz 
abverlangen, selbst aber extensiv diese 
Medien nutzen. Eltern haben eine Vor- 
bildfunktion, ohne die sonstige päda- 
gogische Maßnahmen zumeist wenig 
Wirkung zeigen.’ 


- Verhältnismäßigkeit 


Die Maßnahmen müssen verhältnis- 
mäßig, d.h. auf die Einsichtsfähigkeit 
und das Alter des Kindes ausgerichtet 
sein.'? Sie dürfen dem Kind keine un- 
zumutbaren Einschränkungen abver- 
langen. So kann z. B. die Deinstallation 
von Messenger-Diensten, die unter den 
Freunden des Kindes genutzt werden, 
eine kommunikative Isolation be- 
wirken, die ihrerseits wieder zu einer 
Kindeswohlgefährdung führen kann." 
Auf das generelle Kommunikationsver- 
halten des sozialen Umfelds der Kinder 
haben die Eltern nur begrenzt Einfluss, 
doch sollten sie diesen zu nutzen versu- 
chen, etwa über die Schule oder die EI- 
ternschaft, um dafür zu sorgen, dass im 
Umfeld des Kindes generell kindgerech- 
te und datenschutzkonforme Kommuni- 
kationsdienste genutzt werden. 

Geht ein digitales Angebot mit Da- 
tenschutzverstößen einher, so wie dies 
bei dem unter Heranwachsenden weit 
verbreiteten WhatsApp der Fall ist, so 
spricht dies für eine Beeinträchtigung 
des Kindeswohls, ist aber noch kein un- 
widerlegbares Indiz für eine konkrete 
Kindeswohlgefährdung i. S. v. & 1666 
BGB. Verstöße gegen die Datenschutz- 
rechte Dritter z. B. durch die Nutzung 
von Kommunikationsdiensten, die unzu- 
lässig Adressbücher sowie weitere Daten 
auslesen, können durch entsprechende 
Zustimmungen der Kommunikations- 
partner geheilt werden.?° Es kann noch 


keine Gefahr für das Vermögen des Kin- 
des angenommen werden, wenn einevon 
diesem genutzte Messenger-Applikation 
unter Verstoß gegen den Datenschutz 
Daten von Kommunikationspartnern an 
Dritte weiterübermittelt und damit die 
Möglichkeit besteht, dass wegen dieses 
deliktisch-rechtswidrigen Verhaltens Ab- 
mahnungen erfolgen und weitergehende 
Forderungen gestellt werden.?! Eine Ge- 
fahr liegt insofern erst vor, wenn gemäß 
den Umständen derartige Abmahnungen 
und Forderungen tatsächlich drohen. 
Private sind nicht zu einem rechtskon- 
formen Verhalten verpflichtet, schon gar 
nicht Kinder. Wohl sind sie verpflichtet, 
die Rechtsfolgen für Rechtsverstöße zu 
tragen. 

Ein grundlegendes Problem bei der di- 
gitalen Sorge besteht darin, dass oft die 
hierfür nötige elterliche Medienkom- 
petenz fehlt. Es ist Fakt, dass viele El- 
tern mit der Technik nicht vertraut sind, 
die ihre Kinder und zumeist auch sie 
selbst nutzen. Das Verständnis dafür ist 
oft begrenzt, erst recht die Kompetenz, 
die Technik souverän anzuwenden. In- 
sofern sind die Eltern im Interesse der 
Wahrung des Kindeswohls gehalten, 
sich die nötige Kompetenz anzueignen 
oder - soweit dies nicht möglich ist - 
externe Hilfe in Anspruch zu nehmen. ?? 


- Staatliches Wächteramt 


Die zwischen Eltern und Kindern be- 
stehende Sorgebeziehung steht gemäß 
Art. 6 Abs. 2 S. 2 Grundgesetz unter 
hoheitlicher Aufsicht; die staatliche 
Gemeinschaft hat hierüber zu wachen. 
Das Bundesverfassungsgericht (BVerfG) 
stellt hohe Anforderungen für staatli- 
che Eingriffe in die elterliche Sorge. 
Danach gehört es nicht zur Ausübung 
des staatlichen Wächteramts, gegen den 
Willen der Eltern für eine bestmögliche 
Förderung der Fähigkeiten des Kindes 
zu sorgen. Die primäre Entscheidungs- 
zuständigkeit bezüglich der Förderung 
ihrer Kinder ist den Eltern zugewiesen. 

Für in das Sorgerecht eingreifende 
Maßnahmen bedarf es einer nachhalti- 
gen Gefährdung des körperlichen, geis- 
tigen oder seelischen Wohls.?® Daraus 
zieht das Oberlandesgericht Frankfurt/ 
Main den Schluss, dass es für einen 
staatlichen Eingriff nötig ist, dass der 
„Eintritt eines Schadens zum Nachteil 
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des Kindes mit ziemlicher Sicherheit zu 
erwarten”ist. AufGrund der Mediennut- 
zung müsse eine konkrete Gefährdung 
des betroffenen Kindes festgestellt 
werden: „Die Nutzung digitaler Medien 
muss zum Schutz von Minderjährigen 
gegebenenfalls pädagogisch begleitet 
werden; hier ergeben sich individuelle 
Spielräume, die ... innerhalb der je- 
weiligen Familien eigenverantwortlich 
festgelegt werden können.” Ein hoheit- 
licher Eingriff in die Erziehungsmetho- 
den bzgl. der kindlichen Nutzung digi- 
taler Technik ist danach erst zulässig, 
wenn die Eltern ihrer Verantwortung 
nicht gerecht werden und festgestellt 
wird, dass diese auch künftig nicht be- 
reit oder in der Lage sind, eingetretene 
Gefährdungen abzuwenden.”* 

Hat das Jugendamt gewichtige Infor- 
mationen, die auf eine Gefährdung des 
Kindeswohls durch digitale Medien hin- 
weisen, so hat es nach Vornahme einer 
Einschätzung des Gefährdungsrisikos 
unter Einbeziehung der Erziehungs- 
berechtigten und des Kindes bzw. Ju- 
gendlichen gemäß & 8a Abs. 1 SGB VIII 
eine Lösung zu suchen. Als Maßnah- 
men kommen familiengerichtliche An- 
ordnungen nach 8 1666 Abs. 1 BGB in 
Betracht, mit denen die Gefahr für das 
Kindeswohl abgewehrt werden kann. 
Eine solche Anordnung kann auch auf 
Initiative des Jugendamtes gemäß 8 8a 
Abs. 2 SGB VII erfolgen. 


- Forschungsbedarf 
Die Pädagogik zur Mediennutzung 


von Kindern befindet sich in der Ent- 
wicklung. Die Erforschung der seeli- 


Heinz Alenfelder 


schen, gesundheitlichen und sozialen 
Konsequenzen der Nutzung digitaler 
Techniken durch Heranwachsende be- 
findet sich noch in den Kinderschu- 
hen. Staatliche Maßnahmen, mit denen 
Eingriffe in die geschützte Beziehung 
zwischen Eltern und Kindern erfolgen, 
auch wenn es darum geht, den Daten- 
schutz zu sichern, bedürfen nicht nur 
einer rechtlichen Grundlage, sondern 
auch einer faktischen Rechtfertigung. 
Insofern besteht noch sehr großer Be- 
darfan belastbaren Erkenntnissen. Auf 
Grundlage des erlangten Erfahrungswis- 
sens ist es dann auch sinnvoll, weitere 
normative Vorgaben festzulegen. Nötig 
ist aber auch, dass die bestehenden 
rechtlichen Regelungen durch die staat- 
liche Aufsicht gegenüber den Anbietern 
durchgesetzt werden. Dies gilt für den 
Jugendschutz wie für den Datenschutz. 
Der Ansatz, illegale Angebote wie z. B. 
WhatsApp über das elterliche Sorgerecht 
zu bekämpfen, so wie dies offenbar das 
AG Bad Hersfeld versucht, kann keinen 
nachhaltigen Erfolg haben. 


1 AGBad Hersfeld 22.07.2016 - F 361/16 
EASO (1), K&R 2016, 621; AG Bad Hers- 
feld 20.03.2017 - F 111/17 EASO (2); 
AG Bad Hersfeld 15.05.2017 -F 120/17 
EASO (3); AG Bad Hersfeld 10.01.2018 
zitiert bei OLG Frankfurt 15.06.2018 - 2 
UF 41/18. 


2 Großekathöfer, Für immer nackt, Der 
Spiegel 7/2018, 54-58. 


3 Bauschmüller/Braun, „Schon Drittkläss- 
ler erzählen mir von Pornos”, Interview 
mit von Weiler, SZ 29.01.2019, 8. 


4 AG Bad Hersfeld 27.10.2017 -63 F 
290/17 50. 


5 Linnartz, Das ewige Klassenzimmer, SZ 
13.05.2019, 12. 


6 Kreye, Macht süchtig, SZ 09./10.2019; 
AG Bad Hersfeld (3) S. 26. 


7 AGBad Hersfeld (1), S. 16. 


8 AGBad Hersfeld (1), S. 20; AG Bad Hers- 
feld (3), S. 22. 


9 AGBad Hersfeld (3), S. 28. 
10 AG Bad Hersfeld (3), S. 23. 


11 Zu WhatsApp ausführlich AG Bad Hers- 
feld (1), S. 16 ff.; AG Bad Hersfeld (2). 


12 AG Bad Hersfeld (1), S. 20 u. a. mit wei- 
tergehenden technischen Hinweisen. 


13 AG Bad Hersfeld (1), S. 21. 
14 AG Bad Hersfeld (3), S. 25 £. 


15 AG Bad Hersfeld (1), S. 19; AG Bad Hers- 
feld (3), S. 22. 


16 AG Bad Hersfeld (3) S. 2, 27; vgl. www. 
mediennutzungsvertrag.de; www. 
internet-abc.de/Eltern/familie- 
medien/; www.schau-hin.info. 


17 AG Bad Hersfeld (3), S. 26 £. 
18 AG Bad Hersfeld (1), S. 18. 


19 AG Bad Hersfeld (1), S. 22, einschrän- 
kend aber S. 23. 


20 AG Bad Hersfeld (3), S. 2, 21. 


21 So AG Bad Hersfeld (2), S. 5, 19 ff. unter 
Verweis auf die 88 823, 828, 1004 analog 
BGB; ebenso AG Bad Hersfeld (3), S. 6, 
10 ff. 


22 AG Bad Hersfeld (1), S. 18 f.; AG Bad 
Hersfeld (3), S. 3, 25. 


23 BVerfG 20.01.2016 - 1 BvR 2742/15, 
Rn. 12, FamRZ 2016, 439. 


24 OLG Frankfurt/Main 15.06.2018 - 2 UF 
41/18, Rn. 25; FuR 2018, 612=MDR 
2018, 1190 = MMR 2019, 253. 


Online-Spiele: Was geschieht mit den Daten - 
Ein Überblick und einige Empfehlungen 


Spiele und das Online-Spielen sind 
in unserer Gesellschaft auf dem Vor- 
marsch. Dank der modernen digitalen 
Technologie kann heute in fast allen 
Lebenslagen gespielt werden. Wissen- 
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schaftlich beschäftigen sich die Bei- 
träge im Online-Sammelband „Digitale 
Spiele im Diskurs”, der seit 2015 im 
Rahmen der Reihe „Medien im Diskurs”! 
der FernUniversität in Hagen erscheint, 


mit dieser Entwicklung. Was dort bisher 
fehlt, ist der Blick auf den Datenschutz. 
Auch die Spielenden sind in aller Regel 
ratlos, wenn sie denn überhaupt ein 
Bewusstsein für dieses Thema entwi- 
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Bild: Shutterstock 


ckeln, und bestätigen endlos lange Da- 
tenschutzerklärungen, meist ohne sie 
überhaupt gelesen zu haben. 

Dieser Artikel soll nun zunächst - frei 
nach Friedrich von Schiller („Wer zählt 
die Pannen, nennt die Namen, die hier 
nun schon zusammen kamen?”) - mit 
einem chronologisch sortierten Über- 
blick einiger „Datenskandale“ aus der 
modernen Online-Spielewelt die Prob- 
lematik der beim Spielen anfallenden 
Datenmengen anreißen. Darauf folgen 
Beispiele für das, was Industrie und 
Forschung aus Spiele-Daten herausle- 
sen können und wollen. Abschließend 
werden Ergebnisse der Suche nach mög- 
lichst konkreten Empfehlungen an Spie- 
lerinnen und Spieler für den Umgang 
mit dem Datenschutz vorgestellt. 

In der DANA wurden elektronische 
Spiele erstmalig 2012 anlässlich der 
Verleihung des Big Brother Awards an 
Blizzard Entertainment erwähnt’. Das 
zweite Mal nahmen Frank Spaeing und 
Roland Appel 2016 das „Phänomen 
Pokemon GO”? unter die Lupe. Sie be- 
schrieben einerseits die konkreten De- 
tails dieses Spiels, um das sich in aller 
Schnelle ein Hype entwickelt hatte, und 
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setzten sich andererseits damit ausein- 
ander, wie bedenkenlos Spielende ihre 
Daten an die Spieleherstellerfirmen ab- 
geben. Darüber hinaus wurde - nicht 
nur seitens der DVD - die Unmöglichkeit 
des anonymen Spiels bei Pok&mon GO 
bemängelt‘. 


Kleine und große Datenpannen aus 
der Welt der Spiele 


Sicherlich einer der zahlenmäßig 
größten Skandale in der Spiele-Welt 
betraf 2011 das Sony-Netzwerk. Seiner- 
zeit wurden 77 Millionen unverschlüs- 
selter Account-Daten entwendet?. Ein 
Blog auf der österreichischen Webseite 
Techbold.at führt im Zusammenhang 
mit der DSGVO die PlayStation auf dem 
zweiten Platz der Datenpannen auf. Da- 
mals waren lediglich die Kreditkarten- 
daten verschlüsselt und das Netzwerk 
musste abgeschaltet werden, was Sony 
nach eigenen Aussagen eine dreistellige 
Millionensumme in Euro kostete. 

Bereits 2005 erhielt Blizzard Enter- 
tainment den österreichischen Big 
Brother Award in der Kategorie „Kom- 
munikation und Marketing” für das Aus- 


spionieren von Arbeitsspeichern und 
Rechnerdaten. 2012 folgte für dieselbe 
Firma dann der deutsche Big Brother 
Award in der Kategorie „Verbraucher- 
schutz”, weil für die Spiele-Accounts 
im Freundschaftssystem Real ID statt 
Phantasie-Namen nur noch öffentli- 
che reale Klarnamen zur Anmeldung 
verwendet werden sollten. Nach den 
damaligen Bedingungen verzichteten 
Spielende sogar auf „alle Persönlich- 
keitsrechte, die Sie ggf. in Bezug auf 
Nutzerinhalte haben“. 

Der Spielzeug- und Lernsoftware- 
Hersteller VTech wurde im November 
2015 gehackt.’ Dabei wurden auch Da- 
ten von über sechs Millionen Kindern 
entwendet, mehr als 500.000 davon 
in Deutschland. Adressen, Namen und 
Geburtstage konnten in Verbindung 
mit Eltern-Konten gebracht werden. 
Der Spielzeughersteller verkündete 
damals, Bankverbindungsdaten seien 
nicht erbeutet worden. Anfang 2018 
verhängte die US Federal Trade Com- 
mission (FTC) in dieser Sache eine 
Strafe von $ 650.000 gegen VTech, was 
etwa 22 Cent pro betroffenem Kind aus- 
macht.® 
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Nicht nur Spiele-, sondern auch TV- 
Nutzungsdaten sind für das Schalten 
von Werbespots interessant. Diese Da- 
ten werden, so ein Artikel der New York 
Times vom Jahresende 2017°, von einer 
Software des Silicon Valley-Start-Ups 
Alphonso in über 1000 Smartphone-Ap- 
plikationen gesammelt. Dazu gehören 
auch viele Spiele-Apps, die sich zum Teil 
speziell an Kinder richten. Selbst wenn 
die entsprechende App gerade nicht 
genutzt wird, analysiert das Mikrofon 
des Smartphones Umgebungsgeräu- 
sche und kann speziell in Werbespots 
eingelagerte Tonfolgen registrieren. Die 
Autorin des Artikels, Sapna Maheshwa- 
ri, berichtet darüber hinaus, dass die 
US-amerikanische Handelskommission 
2017 gegenüber Entwicklern der Soft- 
ware Silver Push eine Rüge aussprach, 
weil die Software für Menschen nicht 
hörbare Töne in Fernsehsendungen ana- 
lysierbar machte!. Das entsprechende 
Patent liegt seit 2015 in den Händen 
von Facebook. Dort, so die österreichi- 
sche Webseite derstandard.de, betont 
man allerdings, es solle „niemals zum 
Einsatz kommen“”.'! 

Anfang 2018 wurden Mängel bei der 
Authentifizierung des Spiels Fortnite 
(Epic Games) bekannt, die angreifen- 
den Hackern die Möglichkeit boten, Ar- 
tefakte und Geld aus dem Spiel zu ent- 
wenden.'? Insbesondere V-Bucks, die 
im Spiel verwendete Währungseinheit, 
hätte gestohlen und in der realen Welt 
zu Geld gemacht werden können. 2019 
geriet Epic Games wiederum in die Kri- 
tik. Im Dezember des Vorjahres hatte der 
Spielehersteller eine eigene Gaming- 
Plattform veröffentlicht, um vor allem 
der Plattform Steam Konkurrenz zu ma- 
chen. Im März 2019 wurde nun behaup- 
tet, der Spiel-Launcher sammle auf der 
Plattform Steam Daten von Spielenden 
und leite sie an Epic Games weiter. Das 
Unternehmen könne die Daten dann für 
eigene Zwecke nutzen’*. 

Die Webseite gamestar.de berichte- 
te im Februar 2019", dass zu Apex Le- 
gends, einem Spiel von Respawn mit 
25 Millionen Mitspielenden, bereits in 
der ersten Woche nach Erscheinen eine 
Fake-App erschien. Diese App versprach 
beste Spielerlebnisse auf Mobilgeräten, 
was allerdings zu diesem Zeitpunkt gar 
nicht möglich war. Statt dessen war die 
App mit Adware ausgestattet, die den 
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Entwicklern Geld für (unfreiwillig) he- 
runtergeladene Werbung in die Kasse 
spült. Dieselbe Methode war schon bei 
Fortnite und Pokemon Go angewendet 
worden. 

Die im Juni 2019 bei vox.com veröf- 
fentlichte „history of mobile game data 
collection” schließlich bezeichnet das 
seit 2009 erfolgreiche Spiel Angry Birds 
der finnischen Firma Rovio als Trojani- 
sches Pferd. Die Autorin, Kaitlyn Tif- 
fany, bezeichnet die Veröffentlichung 
des Spiels als Beginn einer Dekade, in 
der freie Apps auf das Smartphone her- 
untergeladen werden, „without having 
any real idea what they were getting 
from us“. Edward Snowden habe 2014 
gezeigt, dass die amerikanische Nati- 
onal Security Agency (NSA) nicht nur 
mit World of Warcraft, sondern auch 
mit Angry Birds private Daten ausspio- 
nierte'°. Den entwickelnden Firmen sei 
in der Regel nicht einmal klar, welche 
Daten von wem gesammelt würden, da 
sie bei der Entwicklung auf Third-Party- 
Werbe-Software zurückgreifen (häufig 
von bekannten Firmen wie Facebook, 
Google oder Twitter, oft aber auch von 
einem Dutzend weiterer Unternehmen). 
Tiffany warnt vor dem Einwand, Spiele- 
Daten seien harmlos, denn Studien wür- 
den zeigen: „you play games differently 
when you’re depressed, or dieting”. Sehr 
kritisch sind vor allem Persönlichkeits- 
profile zu bewerten, die nach einem 
US-Patent von 2007 aus den Spieldaten 
gewonnen werden können. 

Jüngst machte Electronic Arts im Ok- 
tober 2019 durch eine Panne beim Re- 
gistrieren für die „FIFA 20 Global Series” 
auf sich aufmerksam. Laut der Webseite 
pcgameshardware.de’’ waren im An- 
meldeformular von etwa 1600 Personen 
fremde Accountdaten sichtbar. Neben 
Geburtsdaten sollen sowohl E-Mail- 
Adressen und ID-Kennungen als auch 
Länderangaben bereits eingetragen ge- 
wesen sein. Das Formular wurde nach 
30 Minuten deaktiviert, doch obwohl 
das Problem bei Twitter schnell kommu- 
niziert worden war, dauerte es mehrere 
Stunden, bis sich EA dazu äußerte. 

Mit diesen sich scheinbar immer häu- 
figer ereignenden Datenpannen ist nur 
die Spitze eines Eisbergs gezeichnet, 
der in seiner vollen Bedeutung kaum 
zu unterschätzen ist. Die Aufzählung 
von Skandalen allerdings wird der Da- 


tenschutz-Problematik nicht gerecht, 
wie bereits das im vorletzten Abschnitt 
erwähnte US-Patent zu Persönlichkeits- 
profilen zeigt. 


Wer sammelt eigentlich wessen 
Daten und wozu? - Ein Blick in die 
Forschung 


Nach dem von einem Google-Mitarbei- 
ter registrierten Patent!® können „Spiel- 
eigenschaften, die im Chat verbrachte 
Zeit, das Verhalten beim Tauschhandel, 
die Erforschung von Gebieten, die Ent- 
scheidung bei Konfliktsituationen” und 
weitere Daten für Werbung genutzt wer- 
den. Also gilt es, über die aktuellen Pan- 
nen hinaus anzuschauen, was prinzipi- 
ell mit Daten von Spielenden geschehen 
kann, wie sie genutzt werden können 
und durchaus auch genutzt werden. 

Aussagen über die Persönlichkeit von 
Spielenden erforschte schon 2015 eine 
Studie zum Spiel League of Legends’”. 
Kokkinakis, Lin, Pavlas und Wade ar- 
beiten darin Zusammenhänge zwischen 
„anti-sozialen“ Namen der Spielcha- 
raktere, dem sozialen Verhalten der 
Mitspielenden und deren Alter heraus. 
Das Forschungsteam vermutet, dass 
positives Verhalten in der Spielumge- 
bung („rapid learning, team-building 
or leadership“) sowohl mit positiven 
Spielernamen als auch mit positiven 
Persönlichkeitseigenschaften in der 
Realität korreliert. Es kündigte an, sich 
weiterhin damit zu beschäftigen, in- 
wieweit eine Verstärkung altruistischer 
Strategien in einer Spielumgebung ein 
antisoziales Verhalten im Alltag beein- 
flussen kann. 

Im kanadischen Toronto Star erschien 
Ende 2015 ein Artikel von Alex Bouti- 
lier?, in dem dieser nicht nur beschreibt, 
welche personenbezogenen Daten von 
Spielefirmen gesammelt werden, son- 
dern auch ein eindrucksvolles Beispiel 
für die Verwendung der Daten durch ei- 
nen Spieleanbieter über das Marketing 
hinaus vorstellt. King, der Hersteller der 
äußerst erfolgreichen Serie Candy Crush, 
stellte demnach durch Datenauswertung 
fest, dass viele App-Nutzer beim Level 65 
mit dem Spielen aufhörten. Als Reaktion 
wurde dieses Level einfacher gestaltet 
und schon spielten die Spielerinnen und 
Spieler sehr viel länger mit der kosten- 
freien App. 
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Allgemein scheinen Angehörige der 
jungen Generationen wohl durchaus 
bereit, Daten gegen kleine Belohnun- 
gen herauszugeben. So wurden 2017 
am Massachusetts Institute of Techno- 
logy (MIT) mehr als 3000 Studierende 
in einer Studie aufgefordert, E-Mail- 
Adressen aus dem nahen Freundeskreis 
weiterzugeben?'. Aus der Gruppe, derals 
Belohnung eine kostenlose Pizza wink- 
te, gaben 98 % der Studierenden E-Mail- 
Adressen weiter, in der Kontrollgruppe 
ohne Belohnung waren es 94 %. Hier 
waren allerdings in 6 % der Fälle die E- 
Mail-Adressen gefälscht. 

2017/2018 wurde das Gebiet „Privacy 
in Gaming“ in einer Studie am Center of 
Law and Information Policy (CLIP) ander 
Fordham Law School umfassend analy- 
siert??. Die Studie untersuchte nicht nur 
die häufigsten Spiele in den App-Stores 
von Apple und Google, sondern auch die 
verschiedenen Spielgeräte und deren 
Zubehör (Kamera, Sensoren, Mikrofon, 
etc.). Alle untersuchten Plattformen 
und Spiele verwenden die gesammelten 
Daten für Werbezwecke. Die Autoren der 
Studie beklagen die Intransparenz des 
Datenaustauschs: „Transparency as to 
gaming companies’ data sharing practi- 
ces could be much improved”. 

2018 berichtet die Deutsche Telekom 
über die Unterstützung der wissen- 
schaftlichen Auswertung von Spieler- 
Daten”. Im Demenz-Forschungsprojekt 
Sea Hero Quest, einer Spiele-App, die 
weltweit vier Millionen Installationen 
umfasst, wurden Daten von Spielerin- 
nen und Spielern, die Alter, Geschlecht 
und Nationalität angegeben hatten, auf 
den Zusammenhang zwischen materi- 
ellem Wohlstand, Grad der Gleichstel- 
lung der Geschlechter und räumlichem 
Orientierungsvermögen untersucht. 
Im Ergebnis wurde festgestellt, dass 
bei höherem materiellem Wohlstand 
das Orientierungsvermögen besser ist 
(Skandinavien, Nordamerika, Australi- 
en und Neuseeland schnitten am besten 
ab; Indien, Ägypten und Irak deutlich 
schlechter). Männer erzielten durch- 
schnittlich bessere Ergebnisse als Frau- 
en; der Unterschied sinkt mit besserer 
Gleichstellung im Heimatland. Generell 
wollen die Forscher mit der Datenana- 
lyse auch Verfahren entwickeln, die der 
Medizin die frühzeitige Diagnose räum- 
licher Desorientierung ermöglicht. 
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Kevin Townsend berichtet im Blog- 
beitrag „Gamers and Gaming Security” 
des tschechischen Sicherheitssoftware- 
Herstellers Avast”“, dass laut einer US- 
amerikanischen Umfrage von Anfang 
2019 55 % der Spielenden dasselbe 
Passwort auf verschiedenen Accounts 
nutzen und durchschnittlich 5 Cyberat- 
tacken erlebt haben. Townsend macht 
klar, dass innerhalb der Spieleumgebun- 
gen virtuelle Gegenstände von Hackern 
gestohlen und in der realen Welt für 
reales Geld verkauft werden können. Er 
stellt bezüglich des erstaunlichen Ver- 
trauens, das Spielende den Spielefirmen 
entgegenbringen, fest: „While video 
games are entertainment, players often 
trust as much oftheir personal informa- 
tion to game companies as they would 
to their workplace, to online shopping 
or even to financial institutions.” Ne- 
ben den virtuellen Gegenständen in- 
teressieren sich die Diebe vor allem für 
Daten wie Ortsangaben, Mediennut- 
zungsgewohnheiten, Telefondaten und 
natürlich auch für finanzielle Informa- 
tionen, die zum Begleichen von Käufen 
innerhalb der Spiele hinterlegt wurden. 
Townsend zählt die Angriffspunkte auf: 
schwache Authentifizierung, vielfältige 
Veröffentlichung von Spieler-Namen, 
Phishing und Malware. Neben den Spie- 
lenden sieht er auch die Spielefirmen in 
der Pflicht, für mehr Sicherheit zu sor- 
gen, beispielsweise durch das Angebot 
einer  Zwei-Faktor-Authentifizierung 
und einer schnellen Unterstützung im 
Schadensfall. Interessant, doch kei- 
nesfalls unstrittig ist seine Einlassung 
zur verhaltensorientierten Biometrie 
(behavioral biometrics), für die er im 
Spieleumfeld eine „unique position to 
explore thetechnology” sieht. In Ansät- 
zen wird diese Technik heute in Cheat- 
Erkennungs-Systemen eingesetzt, die 
Falsch-Spielerei entlarven sollen. Un- 
beachtet bleibt im Blogbeitrag die dabei 
neu entstehende Sammlung sensibler 
Daten. 

Wie einfach es für Hacker sein kann, 
die modernen sprachanalysierenden 
Boxen von Amazon (Alexa) oder Goog- 
le (Home) zum Datensammeln zu ani- 
mieren, zeigen aktuelle Berichte des 
Berliner Forschungsinstituts Security 
Research Labs” vom Oktober 2019. Da- 
nach gelang es dem Forschungsteam, 
abhörende Apps (Skills für Alexa bzw. 


Actions für Home) in die jeweiligen 
App-Stores zu bringen. In weiterge- 
henden Versuchen konnten diese Apps 
die Nutzenden sogar dazu bringen, das 
Passwort laut auszusprechen. 

Jüngst veröffentliche Forschungser- 
gebnisse aus 2019 belegen auch, dass 
das Bewusstsein über die Problematik 
der Weitergabe von personenbezogenen 
Daten bei den meisten Betroffenen erst 
geweckt werden muss. Beim Einsatz ei- 
nes Privacy-Themas in einem Spiel für 
Smartwatches, so stellte ein Team um 
Meredydd Williams von der Universität 
Oxford in einer Studie fest, wurden sig- 
nifikant datenschutz-freundlichere Ein- 
stellungen an der Uhrvorgenommen, als 
ohne dieses Kapitel.?‘ Damit zeigt sich 
also, dass Veränderungen möglich sind, 
wenn sie in der passenden Form an die 
Spielenden herangetragen werden und 
diese entsprechend ermutigen, Daten- 
schutz ernst zu nehmen. In eine ähn- 
liche Richtung geht auch die neusee- 
ländische Webseite www.privacygames. 
com, die spielerisch in das Thema Da- 
tenschutz einführen und Bewusstsein 
schaffen will. 


Auf der Suche nach Empfehlungen 
für Spielende 


Mit dem Bewusstsein alleine ist es 
noch nicht getan. Zwar fordert der im 
vorletzten Absatz erwähnte Blogger 
Towmsend Spielefirmen explizit zu Si- 
cherheitsmaßnahmen und zur Daten- 
sparsamkeit auf: „Game companies, as 
with any organization gathering or sto- 
ring data on its customers, should fol- 
low best practices for security and never 
gather more data than is necessary”, 
doch ist zu prüfen, was die Spielerinnen 
und Spieler über das Akzeptieren der 
Datenschutzbedingungen hinaus selbst 
tun können. Empfehlungen hierzu sind 
rar gesät. Einige Recherche-Ergebnisse 
sollen dennoch abschließend vorge- 
stellt werden. 

2010 veröffentlichte das Unabhängige 
Landeszentrum für Datenschutz Schles- 
wig Holstein (ULD) einen Leitfaden 
„Datenschutz in Online-Spielen”, den 
es im Auftrag des Bundesministeriums 
für Bildung und Forschung entwickelt 
hatte. Aufgrund des Alters der Studie 
ist zwar zu prüfen, wie aktuell der Leit- 
faden ist, allerdings sind die grundsätz- 
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lichen Erwägungen auch heute noch 
relevant. So wird festgestellt, dass zu 
den personenbezogenen Daten „neben 
Bestandsdaten wie Name, Adresse etc. 
u. a. auch Daten, die Rückschlüsse auf 
das Verhalten des Spielers erlauben“, 
gehören. Weiter gibt der Leitfaden Anre- 
gungen für die Entwicklung von Spielen 
und wies schon damals auf Datenspar- 
samkeit und das Prinzip „Privacy by De- 
fault“ hin. Einige Module sind vor allem 
deshalb für Nicht-Spielerfahrene inte- 
ressant, weil sie den Fokus auf übliche 
Spielsituationen lenken und Lösungen 
anreißen: 

« Spieler-zu-Spieler-Erkennbarkeit 
(Freundeslisten etc.) - Lösung durch 
Pseudonyme und gesonderte Einwil- 
ligung, Forderung nachträglicher In- 
formationsmöglichkeit 
Reputationssystem (Bewertung an- 
derer Mitspielenden) - Lösung durch 
transparentes Beschwerdeverfahren, 
Verzicht auf schwarze Listen, auto- 
matische Alterungsprozesse für Be- 
wertungen 

Highscorelisten (Präsentation von 
Spielergebnissen) - Lösung durch 
Transparenz, Einwilligung, Pseudony- 
me und Alterungsprozess. 


Offizielle Seiten tun sich bisher 
schwer mit Empfehlungen. So heißt es 
beim Bundesamt für Sicherheit in der 
Informationstechnik (BSI) zum The- 
ma Computerspiele in der Rubrik „BSI 
für Bürger”, dass „Schadsoftware über 
Phishing-Mails, USB-Sticks, Down- 
loads, Werbebanner oder das Spiel selbst 
auf den Rechner” gelangen kann und 
dass die „eingegebenen Login-Daten an 
eine externe Adresse verschickt” wer- 
den können”. Schwache Passworte wer- 
den als eine der wesentlichen Lücken 
benannt. Die Tipps sind eher schlicht 
und dürften selbstverständlich sein: 
Spiele nur aus offiziellen Quellen laden, 
Verknüpfung mit sozialen Medien ver- 
meiden, Passwortsicherung für In-App- 
Käufe, regelmäßige Updates der Spiele 
und Einrichtung eines gesonderten 
Benutzeraccounts auf dem PC. Fraglich 
ist in diesem Zusammenhang aber, wie 
der folgende Tipp zum Accountschutz 
überhaupt umgesetzt werden kann: „Er- 
stellen Sie einen Account nur, wenn Sie 
absolut sicher sind, dass Ihre Daten ver- 
traulich behandelt werden und mit ei- 
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ner entsprechenden Verschlüsselungs- 
technik vom Anbieter gesichert sind.” 
Auch der Verein „Deutschland sicher im 
Netz e. V.“?® kommt beim Datenschutz 
kaum über den Hinweis „Lesen Sie die 
Datenschutzerklärung von Spielen” hin- 
aus. Immerhin empfiehlt er explizit das 
Überprüfen von Berechtigungen, insbe- 
sondere bei Spiele-Apps. 

In Österreich hat das Institut für 
Technikfolgen-Abschätzung 2017 das 
Projekt „Datenschutz in Online-Spielen 
- Spielend Daten sammeln“? durchge- 
führt. Der sehr ausführliche, lesenswer- 
te Abschlussbericht stellt das Problem- 
feld umfassend dar und gibt auch Emp- 
fehlungen an Nutzerinnen und Nutzer. 
Diese reichen von „Kinder beaufsichti- 
gen” über „Schadsoftware vermeiden” 
bis zum sparsamen Umgang mit den 
eigenen Daten (Adresse, Telefonnum- 
mer, Kreditkarten-Nummern) und dem 
Löschen des Accounts, wenn das Spiel 
nicht mehr genutzt wird. 

Ein weiterer Blick über die deutschen 
Grenzen hinaus zeigt auf der Webseite 
der schweizerischen Goldenfrog GmbH 
in einem „Gamer’s Guide to Online Priva- 
cyand Security” eine neue Community 
#GamersForPrivacy. Zwar handelt es sich 
bei dem „Wegweiser“ um eine Werbung 
für die Software vyprvpn, doch werden 
auch hier die Risiken klar benannt: Ver- 
öffentlichung der IP-Adresse sowohl ge- 
genüber dem Internet-Service-Provider 
als auch dem Anbieter für die Telekom- 
munikation (als Beispiel wird hier Sky- 
pe erwähnt). Außerdem wird auf die in 
DANA 1/2019 erwähnte Website Have 
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I Been Pwned (5. 48) hingewiesen und 
die Empfehlung für Phantasie-Namen, 
unterschiedliche Passworte und Zwei- 
Faktor-Authentifizierung ausgespro- 
chen. Der Beitrag liefert auch gleich zu 
gängigen Spielen die passenden Web- 
Adressen der Spielhersteller. 

Die Kanadische Datenschutzbehörde 
erklärt in einem aktuellen Dokument 
„Gaming and personal information: 
playing with privacy”°' das Thema On- 
line-Spiele nicht nur, sondern unter- 
mauert es auch mit vereinzelten Tipps. 
Auch hier lautet die erste Empfehlung, 
für Spiele eigene E-Mail-Adressen anzu- 
legen, weil damit eine Mail-Adressen- 
Weitergabe durch die Herstellerfirma 
zumindest nachvollziehbar wird. Na- 
türlich bleibt der Hinweis nicht aus, 
insbesondere vor Koppelung des Spiele- 
Accounts mit einer Social-Media-Platt- 
form die Nutzungsbedingungen und 
Datenschutz-Regelungen aufmerksam 
zu lesen und die Einstellungen so rest- 
riktiv wie möglich zu gestalten. Doch es 
bleibt dabei: „Ifyou’re not comfortable, 
don't sync them“. Die Behörde proble- 
matisiert auch die Einverständniserklä- 
rung durch die Eltern von Kindern (für 
Kanada unter 13-Jährige). 

Verschiedene Zeitschriften und Blogs 
für Gamer informieren in kleinen Bei- 
trägen über das Problem der Sicherheit 
beim Spielen und geben nebenbei auch 
Tipps. So beispielsweise Gamestar”: 
„Zwei-Faktor-Authentifizierung ist 
eine einfache Methode, um die eigene 
Sicherheit weiter nach oben zu schrau- 
ben, frische Updates sollten sowieso 
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möglichst zeitnah installiert werden.” 
Recht umfassend informiert schließlich 
die Webseite www.klicksafe.de über das 
gesamte Feld der digitalen Spiele®. Ein 
detaillierter Abschnitt beschäftigt sich 
mit dem Datenschutz. Allerdings bleibt 
auch hier offen, wie das Grundproblem 
gelöst werden kann. So folgt etwa auf 
die richtige Feststellung „Zudem über- 
tragen manche Kopierschutzvorrich- 
tungen persönliche Daten, ohne dass 
ersichtlich wird, was mit ihnen passiert” 
die Aufforderung „Liesin den AGBs, bzw. 
der Datenschutzerklärung nach, was der 
Anbieter mit Deinen Daten macht!” 


Zusammengefasst ergeben sich also 
folgende Empfehlungen: 
+ Spiele sollten nur aus offiziellen Quel- 
len geladen und per Update immer 
zeitnah aktualisiert werden. 
Auf einem PC oder Tablet ist für Spiele 
ein gesonderter Benutzeraccount ein- 
zurichten. 
An erster Stelle der Sicherheitsmaß- 
nahmen steht die Verwendung eines 
Pseudonyms und eines starken Pass- 
worts. Eine Zwei-Faktor-Authentifi- 
zierung wird empfohlen. 
Kreditkartendaten sind nur dann 
anzugeben, wenn auch wirklich In- 
Game-Käufe vorgenommen werden. 
Sowohl Pseudonym als auch geson- 
derte E-Mail-Adresse und Passwort 
sollen für jedes Spiel unterschiedlich 
sein. 
Bei Spiele-Apps sind die Einstellun- 
gen bezüglich Kamera, Mikrofon und 
GPS-Zugriff zu prüfen und möglichst 
restriktiv zu beschränken. 
Auf eine Verknüpfung mit sozialen 
Medien sollte verzichtet werden. 
« Wenn das Spiel/die App nicht mehr 
benutzt wird, sollte der Account aktiv 
gelöscht werden. 


Am Ende aber kommt niemand um- 
hin, die Datenschutzerklärungen der 
Spieleanbieter zu studieren und sich 
gegebenenfalls gegen ein Spiel zu ent- 
scheiden. Eine weitere Möglichkeit be- 
steht darüber hinaus darin, die Rech- 
te nach der DSGVO einzufordern, so 
beispielsweise das Recht auf Auskunft 
über die gespeicherten, personenbe- 
zogenen Daten. Ebenso verdient mit- 
telfristig das Schulungs- und Lernan- 
gebot an die jungen Generationen, wie 
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es beispielsweise die neuseeländische 
Seite www.privacygames.com macht 
oder wie es Johannes Georg Thielen 
mit einer Unterrichtsreihe in seiner 
Masterarbeit”* herausarbeitet, eine 
besondere Beachtung. Entsprechende 
Beiträge unserer Leserschaft sind gern 
gesehen, auch wenn wir uns den Ab- 
druck vorbehalten. 
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Anne Riechert 


Die Vernetzung von Patientendaten im 
Gesundheitssystem 


I. Einleitung 


Eine zentrale Patientendatei, am bes- 
ten europaweit? Wie sehen die bisheri- 
gen und die geplanten Änderungen zum 
Sozialgesetzbuch V aus und was beinhal- 
ten Begriffe wie Telematikinfrastruktur, 
Patientenakte, Gesundheitsakte und 
Gesundheitskarte? Kritiker befürchten 
ein Paradies für die Pharmaindustrie 
und beklagen eine „Zwangsvernetzung” 
von Leistungserbringern, wie Ärzten 
oder Psychotherapeuten.' Andere sehen 
die Möglichkeit, zukünftig die Gesund- 
heitsversorgung aufgrund umfassender 
Vernetzung und Digitalisierung des Ge- 
sundheitswesens bestmöglich sicherzu- 
stellen und zu optimieren. 

Im Fokus der öffentlichen Diskussion 
steht derzeit die so genannte Telema- 
tikinfrastruktur, eine Vernetzung von 
Krankenkassen, Ärzten sowie anderen 
Leistungserbringern, um Patientenda- 
ten schnell und unkompliziert verar- 
beiten zu können. Im Sozialgesetzbuch 
V ist diesbezüglich geregelt, dass die 
Gesellschaft für Telematikanwendungen 
der Gesundheitskarte mbH (gematik) die 
Rahmenbedingungen für den Betrieb 
dieser Telematikinfrastruktur festlegt 
und deren Einhaltung überwacht. Ge- 
sellschafter sind u.a. das Bundesmi- 
nisterium für Gesundheit, Ärztekam- 
mern und Krankenversicherungen.? 
Die Gesellschaft für Telematik nimmt 
darüber hinaus ebenso auf europäischer 
Ebene Aufgaben wahr und soll zukünf- 
tig darauf hinwirken, dass die für den 
grenzüberschreitenden Austausch von 
Gesundheitsdaten erforderlichen Fest- 
legungen mit den Vorgaben für die Tele- 
matikinfrastruktur sowie mit den euro- 
päischen Vorgaben vereinbar sind. 

Basis der Vernetzung stellt die elek- 
tronische Gesundheitskarte dar, auf 
der Stammdaten eines Patienten (z.B. 
Name, Adresse, Geburtsdatum) ge- 
speichert sind und die insgesamt ge- 
eignet sein muss, eine elektronische 
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Patientenakte zu unterstützen. Davon 
abzugrenzen ist die so genannte elek- 
tronische Gesundheitsakte, die eine 
freiwillige Leistung der Krankenkassen 
darstellt. 


II. Verarbeitung von Gesundheitsda- 
ten 


Im vorliegenden Kontext sind die Re- 
gelungen des Sozialgesetzesbuches V 
(SGB V) maßgebend, die durch Artikel 1 
- Terminservice- und Versorgungsge- 
setz (TSVG)?’ bereits mit Wirkung ab 
11.05.2019 geändert worden sind. Der 
Entwurf des Bundesministeriums für 
Gesundheit („Gesetz für eine bessere 
Versorgung durch Digitalisierung und 
Innovation“, Digitale-Versorgung-Ge- 
setz) sieht nun weitere Änderungen vor,* 
wobei im Fokus, wie es der Name bereits 
anklingen lässt, die Innovation steht. 
Das gesamte Gesundheitswesen soll di- 
gitalisiert werden und die Umsetzung 
und umfassende Nutzung einer elektro- 
nischen Patientenakte gefördert werden. 
Leistungserbringer sollen vernetzt wer- 
den und Patienten einen Anspruch auf 
digitale Gesundheitsanwendungen ha- 
ben. So soll die Anwendung von Gesund- 
heits-Apps auf Smartphones zukünftig 
der Arzt bzw. die Ärztin verschreiben und 
die Krankenkasse genehmigen können 
(8 33a Entwurf „Digitale-Versorgung- 
Gesetz”). Dem Bundesinstitut für Arznei- 
mittel und Medizinprodukte soll dabei 
die Aufgabe übertragen werden, ein amt- 
liches Verzeichnis erstattungsfähiger 
digitaler Gesundheitsanwendungen zu 
führen.’ Geplant ist außerdem, telemedi- 
zinische Leistungen zu stärken, wie etwa 
Videosprechstunden. Um dies umsetzen, 
ist ein entsprechendes verpflichtendes 
digitales Netzwerk erforderlich - die ein- 
gangs beschriebene Telematikinfrastruk- 
tur. Hieran sollen sich nicht nur Ärzte 
anschließen müssen, sofern sie keine 
Honorarkürzungen in Kauf nehmen wol- 
len, sondern ebenso Apotheken (bis zum 


30.09.2020) und Krankenhäuser (bis 
zum 01.01.2021). 

Im Referenten-Entwurf „Digitale- 
Versorgung-Gesetz“ mit Bearbeitungs- 
stand vom 15.05.2019 war im Übrigen 
noch eine eigenständige Regelung zur 
elektronischen Patientenakte geplant 
(8 291h SGB V Entwurf Digitale-Versor- 
gung-Gesetz vom 15.05.2019).° Dieser 
Vorschlag wurde mit Beschluss des Bun- 
deskabinetts vom 10.07.2019 gestri- 
chen, so dass die bislang geltende Rege- 
lung des 8 291a SGB V vorerst weiterhin 
Geltung beansprucht. Allerdings sollen 
nach Angaben des Bundesgesundheits- 
ministeriums Regelungen zur elektro- 
nischen Patientenakte nun in einem ei- 
genen Datenschutzgesetz erfolgen.’ Die 
Datenschutz-Grundverordnung enthält 
insoweit eine Öffnungsklausel (Artikel 9 
Absatz 4 DSGVO), die dem nationalen 
Gesetzgeber Regelungen zur Verarbei- 
tung von Gesundheitsdaten ermöglicht, 
etwa im Rahmen des Sozialgesetzbu- 
ches V (SGB V) oder auch im Rahmen 
eines neuen, für die Verarbeitung von 
Gesundheitsdaten spezifischen Daten- 
schutzgesetzes. Ergänzend istin diesem 
Kontext zu erwähnen, dass zwar ebenso 
gesetzliche Regelungen im Hinblick auf 
die Tarifgestaltung in Verknüpfung mit 
erhobenen Gesundheitsdaten denkbar 
wären. Insgesamt wird von der Arbeits- 
gruppe Digitaler Neustart allerdings die 
Auffassung vertreten, dass eine gesetz- 
liche Regelung, die die laufende Erhe- 
bung personenbezogener Gesundheits- 
daten zu Zwecken der Tarifgestaltung 
in der privaten Krankenversicherung 
erlaubt, für unzulässig erklärt werden 
sollte. Begründet wird dies mit der Ge- 
fahr von möglichen Diskriminierungen, 
der Verknüpfungsmöglichkeit von Da- 
ten sowie eines Datendiebstahls.° 


III. Definition von Gesundheitsdaten 


Patientenbezogene Daten (z. B. Ana- 
mneseangaben, Befunde, Behandlungs- 
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empfehlungen) sind bekanntermaßen 
besonders schützenswerte Daten und 
unterliegen einer Verschwiegenheits- 
verpflichtung. Die Datenschutz-Grund- 
verordnung enthält in Artikel 4 Nr. 15 
DSGVO eine Legaldefinition für Gesund- 
heitsdaten. Danach sind „Gesundheits- 
daten“ personenbezogene Daten, die 
sich auf die körperliche oder geistige 
Gesundheit einer natürlichen Person, 
einschließlich der Erbringung von Ge- 
sundheitsdienstleistungen, beziehen 
und aus denen Informationen über de- 
ren Gesundheitszustand hervorgehen. 
Allerdings soll grundsätzlich ein wei- 
tes Verständnis von Gesundheitsdaten 
erfolgen.’ So sei auch die regelmäßige 
Ermittlung der Schrittzahl in Verbin- 
dung mit Körperdaten, wie etwa Alter, 
Größe, Gewicht, dazu geeignet Rück- 
schlüsse auf den Gesundheitszustand 
zuzulassen, so dass durch Sportuhren 
oder Fitnesstracker erhobene Daten als 
Gesundheitsdaten einzustufen seien.'? 
Allgemein ist im Hinblick auf solche 
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so genannte Wearables, wie Fitness- 
armbänder oder Smart Watches, darauf 
hinzuweisen, dass im Jahre 2016 sie- 
ben deutsche Aufsichtsbehörden eine 
deutschlandweite Prüfaktion durch- 
führten und zu dem Ergebnis gelang- 
ten, dass kein Gerät vollständig die 
datenschutzrechtlichen Anforderungen 
erfüllte.”! Auch im Abschlussbericht 
der Datenethikkommission wird darauf 
hingewiesen, dass die Qualität dieser 
Apps und damit auch die Verwertbarkeit 
der dadurch erhobenen Daten vielfach 
nicht hoch und auch nicht umfassend 
geprüft sei.!? Dies berge für die betroffe- 
nen Patienten und Nutzer ein zuweilen 
beträchtliches Gesundheitsrisiko."? 

Diese datenschutzrechtlichen Beden- 
ken müssen berücksichtigt und gelöst 
werden, wenn die derzeitigen Planun- 
gen im Entwurf zum Digitale-Versor- 
gung-Gesetz verwirklicht werden und 
ein Leistungsanspruch der Versicherten 
auf digitale Gesundheitsanwendungen 
geschaffen wird.'* 


IV. Gesetzliche Grundlagen gemäß 
Sozialgesetzbuch V 


- Gesundheitskarte 

Die Gesundheitskarte wird von den 
Krankenkassen für jede Versicherte 
und jeden Versicherten ausgestellt. 
Auf ihr werden die Stammdaten gespei- 
chert (Name, Geburtsdatum, Adresse, 
Geschlecht, Krankenkasse und Versi- 
chertennummer). Mit Anbindung an die 
Telematikinfrastruktur sind Ärzte und 
Psychotherapeuten verpflichtet, diese 
mit den Daten der Krankenkassen online 
abzugleichen (so genannter Stammda- 
tenabgleich).'° Grundsätzlich dient die 
Gesundheitskarte der Abrechnung so- 
wie dem Nachweis der Berechtigung zur 
Inanspruchnahme von Leistungen im 
Rahmen der vertragsärztlichen Versor- 
gung (Versicherungsnachweis). Gemäß 
& 291 Absatz 2 Satz 2 Entwurf „Digitale- 
Versorgung-Gesetz” soll zukünftig au- 
ßerdem die Möglichkeit eröffnet wer- 
den, weitere Angaben zum Versicherten 
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oder zum Versicherungsverhältnis auf 
der elektronischen Gesundheitskarte zu 
speichern.‘ 

Ärzte, Einrichtungen und Zahnärzte 
sind im Übrigen verpflichtet den An- 
schluss an die Telematikinfrastruktur 
umzusetzen. Anderenfalls wird ihre 
Vergütung vertragsärztlicher Leistun- 
gen pauschal um 1 Prozent gekürzt 
(8 291 2b SGB V). Gemäß des Referen- 
tenentwurfs „Digitale-Versorgung-Ge- 
setz” ist zukünftig sogar eine Erhöhung 
der Honorarkürzung vertragsärztlicher 
Leistungen auf 2,5% geplant. Begrün- 
det wird dies mit der Verpflichtung der 
Ärzte zur Durchführung des Versicher- 
tenstammdatenmanagements, wofür 
der Anschluss an die Telematikinfra- 
struktur erforderlich sei, was wiederum 
Voraussetzung für die Nutzung der me- 
dizinischen Anwendungen einschließ- 
lich der elektronischen Patientenakte 
sei.’ Allerdings hält der Bundesrat die- 
se Verschärfung für nicht zielführend, 
da die zahlreichen Probleme mit dem 
Anschluss der Praxen der niedergelasse- 
nen Ärzte an die Telematikinfrastruktur 
oftmals nicht in der Verantwortung der 
Ärzte liegen würden, sondern häufig 
niedergelassene Ärzte in ländlichen, 
vom Breitbandausbau noch nicht voll- 
ständig erfassten Regionen betroffen 
seien." 


- Elektronische Patientenakte 

Die Krankenkassen sind verpflichtet, 
ihren Versicherten spätestens ab dem 
1. Januar 2021 eine elektronische Pa- 
tientenakte zur Verfügung zu stellen 
(8 291a Absatz 5c SGB V).'’ Zu diesem 
Zweck muss die Gesundheitskarte ge- 
eignet sein das Verarbeiten von medi- 
zinischen Daten im Rahmen einer elek- 
tronischen Patientenakte zu unterstüt- 
zen (&$ 291 Absatz 3 SGB V). Insgesamt 
sollen von der Gesundheitskarte Daten, 
soweit sie für die Notfallversorgung er- 
forderlich sind, sowie u.a. Befunde oder 
Diagnosen umfasst sein. Dies stelltnach 
dem Willen des Gesetzgebers die Voraus- 
setzung für ein modernes Gesundheits- 
wesen dar: der schnelle und problemlose 
Zugriff auf Patientendaten. 

Damit eine Vernetzung in der Praxis 
aber auch tatsächlich stattfinden kann, 
sollen nach den Plänen des Gesund- 
heitsministeriums die an der vertrags- 
ärztlichen Versorgung teilnehmenden 


208 


Leistungserbringer gegenüber der je- 
weils zuständigen Kassenärztlichen 
Vereinigung nachweisen müssen, dass 
sie über die für den Zugriff auf die elek- 
tronische Patientenakte erforderlichen 
Komponenten und Dienste verfügen. 
Wird ein solcher Nachweis nicht bis zum 
30. Juni 2021 erbracht, soll die Ver- 
gütung vertragsärztlicher Leistungen 
pauschal um 1 Prozent so lange gekürzt 
werden, bis der Nachweis gegenüber der 
Kassenärztlichen Vereinigung erbracht 
ist (8 291 Absatz 2c Entwurf „Digitale- 
Versorgung-Gesetz”). 


- Elektronische Gesundheitsakte 

Die elektronische Gesundheitsakte 
(8 68 SGB V) ist von der elektronischen 
Patientenakte (8 291a SGB V) zu unter- 
scheiden. Bereits die ehemalige Bun- 
desbeauftragte für den Datenschutz 
und die Informationsfreiheit hatte klar- 
gestellt, dass die Zurverfügungstellung 
einer elektronischen Gesundheitsakte 
(eGA) keine gesetzliche Aufgabe sei, 
aber Krankenkassen die persönliche 
elektronische Gesundheitsakte ihrer 
Versicherten finanziell unterstützen 
können. In diesem Sinne wird ebenso 
im aktuellen Tätigkeitsbericht zum Da- 
tenschutz 2017-2018 des amtierenden 
Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit 
ausgeführt, dass es sich bei elektroni- 
schen Gesundheitsakten um ein priva- 
tes Angebot von Dritten handelt, die 
weder Sozialdaten verarbeiten noch das 
Sozialgeheimnis beachten müssen.” 
Elektronische Gesundheitsakten wer- 
den dementsprechend von einzelnen 
Krankenkassen ihren Versicherten als 
Satzungsleistung bereitgestellt und bie- 
ten unterschiedliche Funktionalitäten 
(Medikationsplan, Arztsuche, Termin- 
verwaltung, Impfpass, Notfalldaten). 
Sie dienen dem Zweck Dokumente von 
Ärzten oder Laboren digital anzufragen 
und zu verwalten. Die Dienstleister bie- 
ten diese Funktion hauptsächlich als 
App für das Mobiltelefon an, um medizi- 
nische Daten (z.B. Befunde oder Labor- 
werte) jederzeit und an jedem Ort ab- 
rufbar und verfügbar zu gestalten. Die 
Telematikinfrastruktur (bereitgestellt 
durch die gematik) spielt hierbei aktuell 
noch keine Rolle. Gemäß dem Entwurf 
zum Digitale-Versorgung-Gesetz sollen 
allerdings die auf Grundlage des & 68 


SGB V von den Krankenkassen finan- 
zierten elektronischen Gesundheitsak- 
ten durch elektronische Patientenakten 
nach 8 291a Absatz 3 Satz 1 Nr. 4 ersetzt 
werden und die Regelung in 8 68 SGB V 
daher zukünftig entfallen.?' Ab dem 1. 
April 2022 dürfen die elektronischen 
Gesundheitsakten gemäß dem Entwurf 
„Digitale-Versorgung-Gesetz” nicht mehr 
finanziert werden. 


V. Herausforderungen und Kritik- 
punkte 


- Elektronische Patientenakte 
Kritisiert wird einerseits, dass Leis- 
tungserbringer (Ärzte und Ärztinnen, 
etc.) - wie oben bereits beschrieben 
- verpflichtet werden sich der Telemati- 
kinfrastruktur anzuschließen.” Ande- 
rerseits werden Zweifel daran erhoben, 
obin der Praxis das erforderliche Berech- 
tigungsmanagement seitens der Patien- 
ten und Patientinnen bei Einführung der 
elektronischen Patientenakte umgesetzt 
werden kann. So muss die Verfügungs- 
hoheit des Patienten und der Patientin 
über die sensiblen Daten sichergestellt 
sein.?° Entsprechend ist derzeitin $ 291a 
Absatz 5 SGB V geregelt: 
« Das Erheben, Verarbeiten und Nutzen 
von Daten ist nur mit dem Einverständ- 
nis der Versicherten zulässig. Soweit es 
zur Notfallversorgung erforderlich ist, 
ist der Zugriff auf Daten auch ohne 
eine Autorisierung der Versicherten 
zulässig. 
Durch technische Vorkehrungen ist 
zu gewährleisten, dass der Zugriff nur 
durch Autorisierung der Versicherten 
möglich ist. Der Zugriff auf Daten der 
Patientenakte darf grundsätzlich nur in 
Verbindung mit einem elektronischen 
Heilberufsausweis erfolgen, wenn eine 
Möglichkeit zur sicheren Authentifizie- 
rung und über eine qualifizierte elekt- 
ronische Signatur besteht. 
Ein Zugriff der Patienten aufihre Daten 
kann auch ohne Einsatz der elektroni- 
schen Gesundheitskarte erfolgen, wenn 
der Versicherte nach umfassender In- 
formation durch seine Krankenkasse 
gegenüber der Krankenkasse schriftlich 
oder elektronisch erklärt hat, dieses Zu- 
griffsverfahren zu nutzen. 


Ohne diese umfassende Verfügungs- 
befugnis würde ein Eingriff in das infor- 
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mationelle Selbstbestimmungsrecht des 
Patienten vorliegen: So wird vertreten, 
dass die Führung und die Anlage einer 
elektronischen Patientenakte stets der 
Einwilligung des Patienten bedarf und 
weder gesetzliche Erlaubnisse zur Füh- 
rung einer elektronischen Patientenakte 
durch medizinische Leistungserbrin- 
ger, welche implizit eine einseitige Dul- 
dungspflicht der Patienten beinhalten, 
noch beidseitige Verpflichtungen sowohl 
zur Führung seitens der Leistungserbrin- 
ger als auch zur Duldung durch die Pa- 
tienten verfassungskonform seien.’ Es 
läge damit ein nicht zu rechtfertigender 
Eingriff in das informationelle Selbstbe- 
stimmungsrecht des Patienten vor. 

Im Hinblick auf die Leistungserbrin- 
ger, z.B. Ärzte, liegt mit der Verpflich- 
tung zur Führung einer elektronischen 
Patientenakte (unabhängig von der Ein- 
willigung des Patienten) zwar ebenfalls 
ein Eingriff in deren informationelles 
Selbstbestimmungsrecht vor. Allerdings 
wird dieser Eingriff als gerechtfertigt 
eingestuft, da nur Daten der Sozial- 
sphäre betroffen sind.” Auch ein Ein- 
griffin die Berufsausübungsfreiheit soll 
aufgrund des Schutzes der Gesundheit 
sowie der Förderung der informationel- 
len Selbstbestimmung der Patienten ge- 
rechtfertigt sein.” Allerdings erfolgt in 
diesem Zusammenhang ebenso der Hin- 
weis auf eine angemessene Vergütung 
des damit verbundenen Zusatzaufwands 
beim jeweiligen Leistungserbringer und 
darauf, dass weiterhin Haftungsrisiken 
der Ärzte durch Gesetzgebung, Verwal- 
tung und Rechtsprechung nicht überzo- 
gen werden dürften.?’ Die Haftungsrisi- 
ken sind unter anderem darauf zurück- 
zuführen, dass Patientendaten auf Ver- 
langen des Patienten bzw. der Patientin 
wieder gelöscht werden müssen. Den 
Patientinnen und Patienten stehen dar- 
über hinaus eigene Löschungsrechte zu 
(8 291a Absatz 6 SGB V) zu. Dies hat aber 
auch zur Folge, dass nicht notwendi- 
gerweise eine medizinisch vollständige 
Akte vorliegt, was wiederum haftungs- 
rechtliche Konsequenzen nach sich 
ziehen kann: So kann sich ein Arzt bzw. 
eine Ärztin nicht darauf verlassen, dass 
tatsächlich alle relevanten Patientenda- 
ten vorliegen, wozu ebenso Notfalldaten 
zählen können.” Daher gibt es bereits 
einzelne Äußerungen dahingehend, 
dass eine gesetzliche Verpflichtung zur 
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Nutzung und Duldung einer Patienten- 
akte notwendig sei, um ihre Vollstän- 
digkeit sicherzustellen. Allerdings muss 
an dieser Stelle wiederum auf die gerade 
dargestellten verfassungsrechtlichen 
Bedenken hingewiesen werden. Es 
handelt sich um einen außerordentlich 
sensiblen Bereich der informationel- 
len Selbstbestimmung. So betont auch 
die Fraktion BÜNDNIS 90/DIE GRÜNEN 
die Wichtigkeit eines entsprechenden 
Einwilligungs- und Berechtigungsma- 
nagements für diein die elektronischen 
Patientenakte einzustellenden sensib- 
len Gesundheitsdaten, die Gewährleis- 
tung einer freiwilligen und informierten 
Einwilligung etwa durch entsprechende 
Informationspflichten der Leistungser- 
bringer und Krankenkassen sowie ein 
differenziertes gesetzliches Konzeptvon 
Zugriffsbestimmungen und Zugriffsbe- 
schränkungen.?® Ebenso wird dabei die 
Sicherung der informellen Selbstbe- 
stimmungsrechte der Patientinnen und 
Patienten als eine Grundvoraussetzung 
für Akzeptanz und Vertrauen hervorge- 
hoben, damit die digitale Transformati- 
on überhaupt gelingen könne.” 


- Elektronische Gesundheitsakte 

Die Funktionsweise einer Gesundheits- 
akte kann den Ausführungen der Berli- 
ner Beauftragten für Datenschutz und 
Informationsfreiheit in ihrem Jahresbe- 
richt unter dem Stichwort „Problemati- 
sche Einführung einer elektronischen 
Gesundheitsakte” entnommen werden:?! 
Danach können Versicherte mittels einer 
auf ihrem Mobiltelefon installierten App 
dem Anbieter mitteilen, dass sie Unter- 
lagen von einer behandelnden Ärztin 
oder einem behandelnden Arzt erhalten 
möchten und der Anbieter könnte sich 
anschließend per E-Mailan die betreffen- 
de Ärztin oder an den betreffenden Arzt 
wenden, die wiederum das entsprechen- 
de Dokument über den Webbrowser in die 
Akte hochladen können.°? Letztendlich 
handelt es sich daher um eine Kopie der 
vom Patienten gewünschten Daten in die 
elektronische Akte. Sowohl die Arztpra- 
xis als auch Anbieter der Gesundheits- 
akte haben hierbei die Anforderungen 
von Datenschutz und Datensicherheit in 
ihrem jeweiligen Verantwortungsbereich 
sicherzustellen. 

Außerdem ist zu bedenken, dass 
eine elektronische Gesundheitsakte als 


freiwillige Satzungsleistung der Kran- 
kenkassen von privaten Anbietern zur 
Verfügung gestellt wird. Es werden dem- 
nach private Dritte eingebunden und 
die Patientendaten verbleiben nicht 
mehr allein im geschützten Patient- 
Arzt-Verhältnis. Entsprechend erfolgt 
seitens der Berliner Beauftragten für 
Datenschutz und Informationsfreiheit 
der Hinweis, dass medizinische Leis- 
tungserbringer patientenbezogene 
Daten nur dann an Betreiber elektro- 
nischer Gesundheitsakten übermitteln 
dürfen, wenn die entsprechende Anfor- 
derung tatsächlich von der behandelten 
Person ausgeht.’ Daher ist auch eine 
Erklärung über die Entbindung von der 
Schweigepflicht erforderlich. 

Ergänzend ist darauf hinzuweisen, 
dass Anbieter von elektronischen Ge- 
sundheitsakten in der Vergangenheit 
in Kritik geraten sind, da ohne Einwil- 
ligung der Nutzer Analysetools genutzt 
wurden, die Daten etwa in Bezug auf 
Systemabstürze und Fehler sammelten 
und/oder personenbeziehbare Daten 
an Tracking- und Analysedienstleister 
übermittelten.’ Allerdings bedarf es 
nach Auffassung der Datenschutzkon- 
ferenz einer vorherigen Einwilligung 
beim Einsatz von Tracking-Mechanis- 
men, die das Verhalten von betroffe- 
nen Personen im Internet nachvoll- 
ziehbar machen, und bei der Erstel- 
lung von Nutzerprofilen. Das bedeutet 
- so die Datenschutzkonferenz - dass 
eine informierte Einwilligung i. S. d. 
DSGVO, in Form einer Erklärung oder 
sonstigen eindeutig bestätigenden 
Handlung, vor der Datenverarbeitung 
eingeholt werden muss, d. h. z.B. be- 
vor Cookies platziert werden bzw. auf 
dem Endgerät des Nutzers gespeicher- 
te Informationen gesammelt werden. °° 
Beim Einsatz von Tracking- und Analy- 
setools ist allein die Information folg- 
lich nicht ausreichend. 


VI. Umsetzung in der Arztpraxis 


- Datenschutzrechtliche Anforderungen 

Mit Blick auf die elektronische Pati- 
entenakte, die elektronische Gesund- 
heitsakte und die elektronische Ge- 
sundheitskarte müssen die Ärztinnen 
und Ärzte in ihrem Verantwortungsbe- 
reich „Arztpraxis“ ebenso Pflichten der 
Datenschutz-Grundverordnung umset- 
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zen. Patientendaten dürfen grundsätz- 
lich etwa aufgrund der oben genann- 
ten Regelungen des SGB V, aufgrund 
der Erforderlichkeit im Rahmen des 
Behandlungsvertrages oder aufgrund 
Einwilligung des Patienten verarbeitet 
werden. Die zuletzt genannte Rechts- 
grundlage kann bei zusätzlichen Diens- 
ten in Betracht kommen, wie beispiels- 
weise die turnusmäßige Benachrichti- 
gung der Patienten über die Fälligkeit 
eines Kontrolltermins. Entsprechendes 
gilt für die Weitergabe der Daten von 
Privatpatienten an die privatärztliche 
Verrechnungsstelle oder eine andere 
private Verrechnungsstelle: Eine solche 
Übermittlung bedarf einer Einwilligung 
bzw. der Entbindung von der Schweige- 
pflicht. Zwar ist nicht notwendigerwei- 
se eine Schriftform erforderlich, °° den- 
noch ist an die Dokumentations- bzw. 
Nachweispflicht im Sinne der DSGVO zu 
denken (Artikel 5 Absatz 2 DSGVO).? 

In einer Arztpraxis ist gleichermaßen 
die Transparenz der Datenverarbeitung 
sicherzustellen, die von der Daten- 
schutz-Grundverordnung besonders 
hervorgehoben wird: Die Datenverar- 
beitung muss für die betroffene Person 
nachvollziehbar sein. Hierbei spielt das 
Recht aufInformation gemäß Artikel 13 
DSGVO eine zentrale Rolle, da es den 
Patienten überhaupt erst ermöglicht, 
ihre Rechte wahrnehmen zu können.°® 
Daher gilt auch im Falle einer gesetzli- 
chen Verpflichtung, etwa bei der Durch- 
führung des Stammdatenabgleichs 
(8 291 SGB V), dass der Arzt bzw. die 
Ärztin unter anderem über die Rechts- 
grundlage und über die Empfänger der 
Daten (Krankenkassen) informieren 
muss. Entsprechend müssen die Infor- 
mationspflichten im Rahmen der elekt- 
ronischen Gesundheitsakte erfüllt wer- 
den. Rechtsgrundlage für die Weiterga- 
be der Daten an die jeweiligen Anbieter 
stellt hier die informierte Einwilligung 
der Patienten dar. Lediglich im Hinblick 
auf die (anschließende) Datenverar- 
beitung beim Empfänger besteht keine 
Informations- oder Auskunftsverpflich- 
tung. Die Information hierüber obliegt 
vielmehr den Krankenkassen oder aber 
den Anbietern elektronischer Gesund- 
heitsakten als Empfänger der Daten. 

Weiterhin muss die behandelnde Ärz- 
tin bzw. der behandelnde Arzt ein Ver- 
zeichnis von Verarbeitungstätigkeiten 


210 


anlegen (Artikel 30 DSGVO). Werden bei- 
spielsweise Daten in eine elektronische 
Akte übermittelt, muss dieser Vorgang 
im Verzeichnis von Verarbeitungstätig- 
keiten ergänzt werden. 

Die Datenschutz-Grundverordnung 
sieht außerdem das Instrument der 
so genannten Datenschutz-Folgenab- 
schätzung für besonders riskante Ver- 
fahren vor (als Nachfolgeregelung der 
im BDSG-alt geregelten Vorabkontrolle). 
Bei einer umfangreichen Verarbeitung 
von Patientendaten kann unterstellt 
werden, dass zumindest der Anbieter 
des Dienstes eine solche durchführen 
muss. So haben die Aufsichtsbehörden 
als Beispiel für eine Verarbeitungstä- 
tigkeit, für die eine Datenschutz-Fol- 
genabschätzung durchzuführen ist, den 
„Einsatz von Telemedizin-Lösungen zur 
detaillierten Bearbeitung von Krank- 
heitsdaten und die zentrale Speiche- 
rung der Daten” aufgelistet.°° Kritisiert 
wird allerdings, dass die Telematikin- 
frastruktur ohne jegliche datenschutz- 
rechtliche Vorab-Prüfung ausgerollt 
und bereits als erste Anwendung der 
Versichertenstammdatenabgleich in 
Betrieb genommen wurde.“ 

Die Datenverarbeitung in einer kleinen 
oder mittelgroßen Arztpraxis erfordert 
dagegen regelmäßig keine Datenschutz- 
Folgenabschätzung.* Da allerdings 
sensible Daten an Krankenkassen oder 
Anbieter von elektronischen Gesund- 
heitsakten übermittelt werden, emp- 
fiehlt sich die Dokumentation seitens 
der Ärztin bzw. des Arztes, aus welchem 
Grund keine Datenschutz-Folgenab- 
schätzung durchzuführen ist bzw. warum 
kein besonderes Risiko für den Patienten 
vorliegt („Schwellenwertanalyse”). In 
diesem Zusammenhang könnte etwa do- 
kumentiert werden, dass die Daten vor 
deren Versendung verschlüsselt werden 
(siehe hierzu auch den nachfolgenden 
Punkt „Datensicherheit”). 

Aus datenschutzrechtlicher Sicht 
ist im Übrigen klarzustellen, dass der 
Anspruch auf eine elektronische Kopie 
gemäß Artikel 15 Absatz 4 DSGVO nicht 
dazu führt, dass ein Arzt bzw. eine Ärz- 
tin zur Nutzung einer elektronischen 
Gesundheitsakte verpflichtet wäre. Die 
Nutzung kann zwar grundsätzlich die 
Beauskunftung erleichtern, da jeder 
Verantwortliche die Frist von einem Mo- 
nat nach Eingang des Antrags beachten 


muss und eine Fristverlängerung von 
weiteren zwei Monaten nur im Ausnah- 
mefall in Betracht kommt. In Bezug 
auf die elektronische Gesundheitsakte 
bedeutet dies jedoch nicht, dass ein 
Zwang bestehen würde, Patientendaten 
in eine solche einzutragen und zu über- 
mitteln, um elektronischen Anfragen 
nachzukommen. Dies hat die Berliner 
Beauftragte für Datenschutz und In- 
formationsfreiheit hervorgehoben und 
ausgeführt, dass die Leistungserbringer 
grundsätzlich den Weg zur Übermitt- 
lung der elektronischen Kopie selbst 
wählen könnten (auch wenn ein Recht 
auf Erhalt einer elektronischen Kopie 
bestehe).“ 


- Datensicherheit 

Ein Arzt bzw. eine Ärztin ist ebenso für 
die Datensicherheit des Praxisverwal- 
tungssystems verantwortlich. Gemäß 
den Ausführungen der Berliner Beauf- 
tragten für Datenschutz und Informa- 
tionsfreiheit sollten unverschlüsselte 
patientenbezogene Daten nicht auf Ar- 
beitsplatzrechnern verarbeitet werden, 
die ungehindert auf das Internet zu- 
greifen können, so dass patientenbezo- 
gene Daten vom Leistungserbringer vor 
der Übermittlung zu verschlüsseln sind. 
Speziell für Gesundheitsakten hat sie 
ausgeführt, dass die Datensicherheit so- 
wohl vom Betreiber der elektronischen 
Gesundheitsakte als auch vom medizini- 
schen Leistungserbringer gewährleistet 
werden muss.‘ Nach ihrer Auffassung 
habe der Leistungserbringer dafür Sorge 
zu tragen, dass die Verschlüsselung nur 
mit dem von der behandelten Person zur 
Verfügung gestellten Schlüssel erfolgt, 
und er muss die Verwendung des rich- 
tigen Schlüssels im Zweifelsfall nach- 
weisen können.‘ Diese Verpflichtung 
ist in Artikel 32 DSGVO geregelt und 
verlangt vom Verantwortlichen „geeig- 
nete technische und organisatorische 
Maßnahmen: z.B. Pseudonymisierung 
und Verschlüsselung personenbezoge- 
ner Daten”. 

Dies entspricht im Übrigen ebenso 
der Auffassung des Hamburgischen Be- 
auftragten für Datenschutz und Infor- 
mationsfreiheit, der bereits unter altem 
Recht dargelegt hat, dass die „Versen- 
dung von unverschlüsselten E-Mails, die 
personenbezogene Daten enthalten, ein 
ungeeignetes Kommunikationsmittel 
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darstellt, insbesondere für Angehörige 
von Berufsgruppen, die auch einer straf- 
rechtlich sanktionierten Schweigepflicht 
nach $ 203 StGB unterliegen“.“° In sei- 
nem Tätigkeitsbericht aus dem Jahre 
2014/2015 weist er darauf hin, dass 
bei der Nutzung von elektronischen 
Kommunikationswegen eine Verschlüs- 
selung dringend geboten sei, insbeson- 
dere wenn es sich wie vorliegend um 
Gesundheits- und Sozialdaten der Be- 
troffenen handelt.“ In diesem Sinne hat 
gleichermaßen der Bundesbeauftragte 
für den Datenschutz und die Informa- 
tionsfreiheit die Sozialversicherungs- 
träger (Kranken- und Pflegekassen, Be- 
rufsgenossenschaften, Deutsche Ren- 
tenversicherung) angewiesen, mitihren 
Versicherten nur auf sicherem Weg zu 
kommunizieren und Gesundheitsdaten 
ausschließlich geschützt zu versenden 
oder zu empfangen.“ Unter Verweis auf 
das mangelhafte Sicherheitsniveau, das 
mit einer Postkarte vergleichbar sei, 
wäre nur eine verschlüsselte Versen- 
dung von Gesundheitsdaten per E-Mail 
mit einer qualifizierten Signatur daten- 
schutzrechtlich zulässig.“ 


VII. Besondere Fragestellungen 


- Zertifikate 
Gemäß dem Kurzpapier Nr. 9 der Da- 
tenschutzkonferenz „Lertifizierung 


nach Artikel 42 DS-GVO” arbeiten die 
Aufsichtsbehörden des Bundes und der 
Länder derzeit intensiv an der Entwick- 
lung abgestimmter, länderübergreifend 
geltender Kriterien, um einen „Wild- 
wuchs” zahlreicher unterschiedlicher 
Zertifizierungsverfahren - so die Daten- 
schutzkonferenz - gerade mit Blick auf 
ein einheitliches europäisches Daten- 
schutzniveau im Interesse aller Beteilig- 
ten zu vermeiden.“ Die Voraussetzungen 
für eine Zertifizierung gemäß Artikel 42 
DSGVO müssen somit erst erarbeitet 
werden. Derzeit bestehende Zertifikate 
werden beispielsweise vom TÜV ausge- 
stellt. In diesem Zusammenhang soll 
beispielhaft auf den Anbieter einer elek- 
tronischen Gesundheitsakte verwiesen 
werden, der in der Vergangenheit in sei- 
ner Produktanpreisung folgendes angab: 
„vom TÜV Rheinland getestet und als si- 
chere Plattform zertifiziert”. Als dennoch 
Sicherheitsprobleme aufgedeckt und 
veröffentlicht wurden, stellte der TÜV 
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Rheinland in einer Pressemitteilung klar, 
dass die angesprochenen Schwachstel- 
len nicht den von ihm zertifizierten Teil 
der verschlüsselten Datenübertragung 
innerhalb der mobilen Applikation be- 
treffen würden.: Insgesamt hat der TÜV 
(nur) konstatiert, dass die TLS-Verbin- 
dung, die zum Server des Anbieters der 
Gesundheitsakte aufgebaut wird, nach 
dem Stand der Technik gesichert sei und 
die damit verbundene Zertifikatsprüfung 
korrekt durchgeführt wurde.°! Daher ist 
stets die Frage zu berücksichtigen und 
besonderes Augenmerk darauf zu legen: 
„Was bzw. welches Detail wurde zertifi- 
ziert und getestet?“, um die notwendige 
Transparenz für die Patienten und Pati- 
entinnen sicherzustellen. 

Um mehr Transparenz und Vertrauen 
zu schaffen, wäre es ebenso möglich, 
die Patientinnen und Patienten bei ih- 
rer Auswahl zu unterstützen. Ein sol- 
cher Vorschlag kommt von der Bundes- 
tagsfraktion BÜNDNIS 90/DIE GRÜNEN 
und zielt darauf ab, dass die Bundesre- 
gierung den Aufbau und Betrieb eines 
gemeinnützigen Online-Verzeichnisses 
mit staatlichen Mitteln unterstützt oder 
alternativ selbst ein Online-Verzeichnis 
schafft.’? 


- Forschungszwecke 

Besonderer Aufmerksamkeit bedürfen 
die Forschung auf der Grundlage von Pa- 
tientendaten und der in diesem Zusam- 
menhang notwendige Schutz. Vielfach 
wird man nun den Einwand hören: „Ja, 
aber die Daten sind doch anonym! Dann 
darf man diese doch beliebig nutzen.” 
Es ist richtig, dass anonyme Daten nicht 
den strengen Regeln des Datenschutzes 
unterfallen, da sie nur unter unverhält- 
nismäßigem Aufwand an Zeit, Kosten 
und Arbeitskraft einen Rückschluss auf 
die einzelne Person bzw. den Patienten 
erlauben. So verweisen beispielswei- 
se Christl/Spiekermann in ihrem Buch 
„Networks of Control” auf viele einfache 
Methoden, um die Re-Identifikation 
herzustellen.°® Das Zusatzwissen durch 
die Vernetzung und damit vereinfach- 
ter Zugriff und Verbindung mit anderen 
Informationen ist nicht zu unterschät- 
zen. Daher stellt sich die Frage, ob es 
überhaupt noch anonyme Daten gibt. 
Es muss also stets die Methode der An- 
onymisierung hinterfragt werden.” 
Allein eine Aussage eines Anbieters 


dahingehend, dass selbstverständlich 
nur aggregierte und nicht identifizier- 
bare Daten an Dritte weitergegeben 
oder für „andere“ und „weitere“ Zwecke 
genutzt werden, ist noch nicht aussa- 
gekräftig im Hinblick auf die Methode, 
wie von Christl/Spiekermann ebenfalls 
hervorgehoben wird. Auch die Auf- 
sichtsbehörden verweisen in der Ori- 
entierungshilfe Cloud-Computing da- 
rauf, dass jede Anonymisierung einem 
Zeitablauf unterliegt und neu geprüft 
werden muss.” Berücksichtigt werden 
muss vor allem, ob eine Verschlüsse- 
lung nach dem Stand der Technik ver- 
wandt wurde bzw. ob der eingesetzte 
Algorithmus durch Zeitablauf keinen 
angemessenen Schutz mehr bietet und 
inwieweit ein starker oder schwacher 
Kryptoalgorithmus zum Einsatz kommt 
und anhand einer Risikoabschätzung ist 
die Wahrscheinlichkeit zu prüfen, den 
Personenbezug herzustellen.°° Diese 
Analyse muss regelmäßig durchgeführt 
werden.?’ Diese Vorsicht ist umso mehr 
geboten, da gemäß Artikel 89 DSGVO 
grundsätzlich eine Datenverarbeitung 
zu wissenschaftlichen Forschungszwe- 
cken erlaubt, aber wissenschaftliche 
Forschung nicht notwendigerweise an 
einen akademischen Wissenschaftsbe- 
trieb geknüpft ist. Außerdem sind im 
Sinne von 8 27 Absatz 3 BDSG Gesund- 
heitsdaten, die zu wissenschaftlichen 
Forschungszwecken verarbeitet werden, 
grundsätzlich erst zu anonymisieren, 
sobald dies nach dem Forschungs- oder 
Statistikzweck möglich ist. Bis dahin 
sind die Merkmale gesondert zu spei- 
chern, mit denen Einzelangaben über 
persönliche oder sachliche Verhältnisse 
einer bestimmten oder bestimmbaren 
Person zugeordnet werden können. Die 
Datenethikkommission schlägt als wei- 
tere Schutzmaßnahme strafbewehrte 
Verbote einer De-anonymisierung vor 
(für den Fall, dass bei bisher anonymen 
Daten, etwa durch die Entwicklung der 
Technik, ein Personenbezug hergestellt 
werden kann). * 

Im Entwurf zum „Digitale-Versor- 
gung-Gesetz” wird unter dem Punkt 
„Die Regelungen zur Datentransparenz 
werden weiterentwickelt” betont, dass 
die Sozialdaten der Krankenkassen eine 
wertvolle Datenquelle nicht nur für die 
Steuerung und Weiterentwicklung der 
Gesundheitsversorgung in der gesetz- 
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lichen Krankenversicherung, sondern 
auch für die wissenschaftliche For- 
schung sind.’ Daher soll der Zugang zu 
den Sozialdaten verbessert werden, um 
eine breite wissenschaftliche Nutzung 
unter Wahrung des Sozialdatenschutzes 
zu ermöglichen und zu diesem Zwecke 
die bisherige Datenaufbereitungsstelle 
zu einem Forschungsdatenzentrum mit 
einem deutlich erweiterten und aktu- 
elleren Datenangebot weiterentwickelt 
werden.°° Der Bundesrat unterstützt 
diese Privilegierung der Forschungs- 
datennutzung und bittet zudem, im 
Gesetzgebungsverfahren zu prüfen, 
ob der vorliegende Vorschlag zur Eta- 
blierung eines Forschungsdatenzen- 
trums dahingehend weiterentwickelt 
werden kann, dass zur Förderung der 
Patientensicherheit und qualitativen 
Weiterentwicklung digitaler Innovati- 
onen, die Daten grundsätzlich faktisch 
anonymisiert auch gegenüber den Her- 
stellern zugänglich gemacht werden.‘! 
Außerdem schlägt der Bundesrat vor, 
im weiteren Gesetzgebungsverfahren 
bereits existierende themenspezifische 
Forschungsdatenbanken von nationaler 
und internationaler Bedeutung zu be- 
rücksichtigen und ihre Weiterführung 
durch wissenschaftliche Einrichtungen 
sicherzustellen, z.B. durch Regelungen, 
die es ermöglichen, pseudonymisierte 
Daten öffentlich grundfinanzierten Ein- 
richtungen zu übermitteln, wenn deran- 
gegebene Zweck eine solche Übermitt- 
lung erfordert.‘ Diesen Vorschlägen ist 
also insgesamt zu entnehmen, dass die 
Verarbeitung von Daten zu Forschungs- 
zwecken ausgeweitet werden soll. Auch 
die Datenethikkommission sieht in 
einer Datennutzung für gemeinwohl- 
orientierte Forschungszwecke (z. B. 
zur Verbesserung der Gesundheitsfür- 
sorge) enormes Potenzial, das es zum 
Wohle des Einzelnen und der Allgemein- 
heit zu nutzen gilt.“ Allerdings sollte 
unter Berücksichtigung des informati- 
onellen Selbstbestimmungsrechts stets 
die Entscheidungsfreiheit der Patien- 
tinnen und Patienten im Mittelpunkt 
stehen. Hierfür ist Transparenz und Ver- 
trauen notwendig. So schlägt die Frak- 
tion BÜNDNIS 90/DIE GRÜNEN etwa vor, 
einen Rechtsrahmen zu schaffen, durch 
den die Patientinnen und Patienten die 
Möglichkeit erhalten, ihre Gesundheits- 
daten in pseudonymisierter Form frei- 
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willig, widerrufbar und wenn gewünscht 
auch zweckgebunden für einzelne Vor- 
haben der Forschung zur Verfügung zu 
stellen und entsprechende Nutzungs- 
rechte einzuräumen.“ Betont wird hier- 
bei eine in Abstimmung mit den Daten- 
schutzbehörden zu erarbeitende, den 
europarechtlichen Vorgaben der DSGVO 
entsprechende Einwilligungslösung.s° 
Die Datenethikkommission empfiehlt 
bei der Forschung mit besonders sen- 
siblen Kategorien personenbezogener 
Daten (z. B. Gesundheitsdaten), die 
Forschenden durch Handreichungen 
zur rechtssicheren Einholung von Ein- 
willigungen sowie durch die Förderung 
und gesetzliche Anerkennung innovati- 
ver Einwilligungsmodelle zu unterstüt- 
zen.° Dazu könnten nach Auffassung 
der Datenethikkommission auch digi- 
tale Einwilligungsassistenten gehören. 
Auch im Rahmen von Forschungszwe- 
cken kommt der informationellen Selbst- 
bestimmung also eine besondere Bedeu- 
tung zu, dieim weiteren Gesetzgebungs- 
verfahren berücksichtigt werden muss. 


VII. Fazit 


Unbestritten ist die Wichtigkeit der 
Digitalisierung - insbesondere unter 
dem Aspekt der verbesserungswürdi- 
gen medizinischen Versorgung in länd- 
lichen Gebieten. Auch die Datenethik- 
kommission spricht sich mit Blick 
auf die Vorteile eines digitalisierten 
Gesundheitswesens für einen raschen 
Ausbau digitaler Infrastrukturen in- 
nerhalb des Gesundheitssektors aus. 
Der qualitative und quantitative Aus- 
bau digitalisierter Versorgungsmaß- 
nahmen sollte - so die Ausführungen 
der Datenethikkommission - die infor- 
mationelle Selbstbestimmung des Pati- 
enten stärken.‘ Letztendlich ist zu be- 
rücksichtigen, dass sehr sensible Daten 
im Fokus stehen und eine Vernetzung 
von Daten für die Betroffenen gleicher- 
maßen mit Gefahren verbunden sein 
kann: Durch unsicher konfigurierte 
Server können (Millionen von) Daten 
geleakt werden,® außerdem werden 
sich Hackerangriffe nicht vermeiden 
lassen und Gesundheits-Apps auf ei- 
nem Smartphone beinhalten ebenso 
Sicherheitsrisiken. Ein Anbieter einer 
elektronischen Gesundheitsakte hat in 
der Vergangenheit sogar die Empfeh- 


lung ausgesprochen, aus Sicherheits- 
gründen keine gerooteten Geräte, wie 
ein Android-Endgerät zu verwenden, 
da dadurch die Datensicherheit der von 
ihm zur Verfügung gestellten App nicht 
mehr gegeben sei. Eine wesentliche An- 
forderung ist daher die Sicherstellung 
einer umfassenden Transparenz als 
Entscheidungsgrundlage für das infor- 
mationelle Selbstbestimmungsrecht. 
Hierfür sind wiederum Praktikabilität 
und Verständlichkeit der jeweiligen An- 
wendung eine wichtige Voraussetzung. 
Dies wird auch als digitale Souveränität 
bezeichnet: Patientinnen und Patien- 
ten müssen über ihre Daten im Sinne 
einer digitalen Souveränität bestimmen 
können. Andererseits ist ebenso eine 
digitale Ethik unerlässlich. Die Date- 
nethikkommission empfiehlt, bereits 
bei der Entwicklung der elektronischen 
Patientenakte die Vielfalt ethischer 
Aspekte als integralen Bestandteil im 
Rahmen eines „ethics by, in and for 
design“-Ansatzes zu berücksichtigen.‘° 
Sarah Spiekermann formuliert diese 
Anforderung weitaus anschaulicher: 
„Wir brauchen eine Technik, die uns 
dient anstatt uns zu beherrschen. Man 
braucht einen nüchternen Verstand in 
der Abschätzung dessen, was das Digi- 
tale kann und was nicht - wo es guttut 
und wo es schädlich ist.”’° 

Es geht also nicht nur darum, dass 
Unternehmen (glaubwürdig) ethische 
Maßstäbe in ihre Unternehmenspolitik 
integrieren, sondern wir haben eine ge- 
samtgesellschaftliche Aufgabe. Zudem 
zeigt sich gerade bei Patientendaten, 
wie wichtig es ist, ethische Grundsät- 
ze bereits im Gesetzgebungsverfahren 
mitzudenken und die Richtung vorzu- 
geben. Die Hoffnung ist also, dass wir 
alle diese Besonnenheit zukünftig um- 
setzen können - damit uns die Digitali- 
sierung nutzt und nicht schadet. 


1 Siehe Heise „Kritiker dieser Monsterdatei 
gehen davon aus, dass die Daten über 
den Zugang zur „Forschung“ sehr schnell 
ihren Weg zur Pharma-Industrie finden 
werden. Denn bekanntlich finanzieren 
Firmen einen Großteil der medizinischen 
Forschung. Eine alle Patienten umfas- 
sende bundesweite zentrale Datensamm- 
lung würde sicherlich auch ein begehrtes 
Ziel von allerlei kriminellen Begierden.”, 
abrufbar unter https://www.heise.de/ 
tp/features/Wer-braucht-die-zentrale- 
Patientendatei-4223472.html. 
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2 Im Einzelnen: Bundesministerium für 


Gesundheit (BMG), die Bundesärztekam- 
mer (BÄK), die Bundeszahnärztekammer 
(BZÄK), der Deutsche Apothekerverband 
(DAV), die Deutsche Krankenhausge- 
sellschaft (DKG), der Spitzenverband der 
Gesetzlichen Krankenversicherungen 
(GKV-SV), die Kassenärztliche Bundes- 
vereinigung (KBV) und die Kassenzahn- 
ärztliche Bundesvereinigung (KZBV), 
siehe unter https://www.gematik.de/ 
ueber-uns/unternehmensstruktur/. 


Gesetz vom 06.05.2019 BGBl.1S. 646 
(Nr. 18). 


Entwurf eines Gesetzes für eine bessere 
Versorgung durch Digitalisierung und 
Innovation (Digitale Versorgung-Gesetz 
- DVG) vom 23.09.2019, abrufbar unter: 
http://dip21.bundestag.de/dip21/ 
btd/19/134/1913438.pdf. Der Bundes- 
tag hat am 27.09.2019 diesen Entwurf 
der Bundesregierung in erster Lesung 
beraten. Dieser wurde sodann gemein- 
sam mit dem Antrag der Fraktion BÜND- 
NIS 90/DIE GRÜNEN („Der Digitalisierung 
im Gesundheitswesen eine Richtung ge- 
ben - Den digitalen Wandel im Interesse 
der Nutzerinnen und Nutzern vorantrei- 
ben”) zur federführenden Beratung an 
den Gesundheitsausschuss überwiesen, 
abrufbar unter: http://dip21.bundestag. 
de/dip21/btd/19/135/1913539.pdf. Die 
Gegenäußerung der Bundesregierung 
zur Stellungnahme des Bundesrates ist 
abrufbar unter: http://dip21.bundestag. 
de/dip21/btd/19/135/1913548.pdf. Am 
16.10.2019 fand über den Gesetzentwurf 
eine öffentliche Anhörung des Gesund- 
heitsausschusses unter Einbindung von 
Experten statt (https://www.bundestag. 
de/dokumente/textarchiv/2019/kw42- 
pa-gesundheit-dvg-660398. Der frühere 
Entwurf eines Gesetzes für eine bessere 
Versorgung durch Digitalisierung und 
Innovation (Digitale Versorgung-Gesetz 
- DVG) vom 10.07.2019, ist abrufbar 
unter: https://www. 
bundesgesundheitsministerium.de/ 
fileadmin/Dateien/3_Downloads/ 
Gesetze_und_Verordnungen/GuV/D/ 
Digitale-Versorgung-Gesetz_DVG_ 
Kabinett.pdf. 

Anmerkung der Redaktion: 

Das Digitale-Versorgung-Gesetz wurde 
am 07.11.2019 vom Bundestag be- 
schlossen: https://www.bundestag.de/ 
dokumente/textarchiv/2019/kw45- 
de-digitale-versorgung-gesetz-664900. 
Am 29.11.2019 hat der Bundesrat das 
Digitale-Versorgung-Gesetz gebilligt: 
https://www.bundesrat.de/ 
SharedDocs/beratungsvorgaenge/ 
2019/0501-0600/0557-19.html. 

Das Gesetz wird über die Bundesre- 
gierung dem Bundespräsidenten zur 
Unterzeichnung zugeleitet. Es soll am 
Tag nach der Verkündung im Bundesge- 
setzblatt in Kraft treten. 
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Siehe S. 35 im Entwurf des „Digitale- 
Versorgung-Gesetz” vom 23.09.2019 
(Endnote 4): „Dem Bundesinstitut für 
Arzneimittel und Medizinprodukte wird 
die Aufgabe übertragen, ein amtliches 
Verzeichnis erstattungsfähiger digitaler 
Gesundheitsanwendungen zu führen 
und auf Antrag der Hersteller über die 
Aufnahme zu entscheiden. Vorausset- 
zung für eine Aufnahme ist neben der 
Erfüllung der Anforderungen an Sicher- 
heit, Funktionstauglichkeit, Qualität, 
Datenschutz und Datensicherheit insbe- 
sondere der Nachweis positiver Versor- 
gungseffekte durch den Hersteller.” 


Siehe Entwurf eines Gesetzes für eine 
bessere Versorgung durch Digitalisierung 
und Innovation (Digitale-Versorgung- 
Gesetz), Bearbeitungsstand: 15.05.2019, 
abrufbar unter: https:// www. 
bundesgesundheitsministerium.de/ 
fileadmin/Dateien/3_Downloads/ 
Gesetze_und_Verordnungen/GuV/D/ 
Digitale_Versorgung_Gesetz_-_ 
RefEntwurf.pdf. 


Davon solljedoch die Einführung der 
elektronischen Patientenakte zum 
01.01.2021 unberührt bleiben. Siehe 
hierzu die Informationen auf der Websei- 
te des Bundesgesundheitsministeriums, 
abrufbar unter https://www. 
bundesgesundheitsministerium.de/ 
digitale-versorgung-gesetz.html. 


Eine entsprechende Regelung wäre im 
Versicherungsvertragsgesetz (VVG) 
möglich, siehe Arbeitsgruppe „Digitaler 
Neustart”, der Konferenz der Justizmini- 
sterinnen und Justizminister der Länder, 
Bericht vom 01.10.2018 „Gesundheits- 
daten”, S. 119 ff. (124). 


Siehe Arbeitsgruppe „Digitaler Neustart” 
der Konferenz der Justizministerinnen 
und Justizminister der Länder, Bericht 
vom 01.10.2018 „Gesundheitsdaten”, 

S. 106 mit Verweis in Fußnote 334 auf 
Dregelies, Max, Wohin laufen meine 
Daten? - Datenschutz bei Sportuhren 
und Fitnesstrackern, VuR 2017, 256 
(258/259). 


10 Siehe Arbeitsgruppe „Digitaler Neustart” 


der Konferenz der Justizministerinnen 
und Justizminister der Länder, 
Endnote 9. 


11 Siehe hierzu die Informationen des 


Hessischen Datenschutzbeauftragten, 
Datenschutzbehörden prüfen Wea- 
rables, Stand: 05.12.2016, abrufbar 
unter: https://datenschutz.hessen. 
de/datenschutz/it-und-datenschutz/ 
datenschutzbeh%C3%B6rden- 
pr%C3%BCfen-wearables. 


12 Siehe Gutachten der Datenethikkom- 


mission, S. 114, veröffentlicht am 
23.10.2019, abrufbar unter: https:// 
www.bmjv.de/SharedDocs/Downloads/ 


DE/Themen/Fokusthemen/Gutachten_ 
DEK_DE.pdf. 


13 Siehe Gutachten der Datenethikkommis- 
sion, aaO. 


14 Gemäß der Gesetzesbegründung des 
Entwurfes des „Digitale-Versorgung-Ge- 
setz” vom 23.09.2019 eröffnen digitale 
Gesundheitsanwendungen vielfältige 
Möglichkeiten und es soll - wie oben be- 
reits dargestellt - ein Leistungsanspruch 
der Versicherten auf digitale Gesund- 
heitsanwendungen geschaffen werden, 
der u.a. Software und „Gesundheits- 
Apps“ umfasst, wie sie etwa im Rahmen 
von elektronischen Gesundheitsakten 
verwendet werden. 


15 Die an der vertragsärztlichen Versor- 
gung teilnehmenden Ärzte sind bei der 
erstmaligen Inanspruchnahme ihrer 
Leistungen durch einen Versicherten im 
Quartal verpflichtet, die Leistungspflicht 
der Krankenkasse zu prüfen. Zu diesem 
Zweck wird ein Stammdatenabgleich 
durchgeführt und geprüft, ob die auf 
der Gesundheitskarte des Patienten 
gespeicherten Daten gültig und aktuell 
sind. Der Referentenentwurf „Digitale- 
Versorgung-Gesetz” sieht vor, dass 
Leistungserbringer ohne unmittelbaren 
Patientenkontakt, beispielsweise Labore, 
vom Stammdatenabgleich befreit sind. 
Diese sollen dennoch bis zum 30.06.2020 
verpflichtet sein, sich an die Telematik- 
infrastruktur anzuschließen. 


16 Siehe Gesetzesbegründung im Entwurf 
„Digitale-Versorgung-Gesetz” vom 
23.09.2019, S. 65 (Endnote 4). 


17 Siehe Gesetzesbegründung im Entwurf 
„Digitale-Versorgung-Gesetz” vom 
23.09.2019, S. 66 (Endnote 4). 


18 Siehe Stellungnahme des Bundesrates 
im Entwurf „Digitale Versorgung-Gesetz” 
vom 23.09.2019, 5. 92 (Endnote 4). 


19 Gemäß 8 291 Absatz 2a SGB V sind die 
Krankenkassen außerdem verpflich- 
tet, Versicherten ab dem 1. Dezember 
2019 auf Verlangen unverzüglich eine 
elektronische Gesundheitskarte mit 
kontaktloser Schnittstelle zur Verfügung 
zu stellen. 


20 Siehe auch 27. Tätigkeitsbericht zum 
Datenschutz 2017-2018 des Bundesbe- 
auftragten für den Datenschutz und die 
Informationsfreiheit zum Bereich „Elek- 
tronische Gesundheits- und Patientenak- 
ten sowie sog. GesundheitsApps”, S. 57, 
abrufbar unter: https://www.bfdi.bund. 
de/SharedDocs/Publikationen/ 
Taetigkeitsberichte/TB_BfDI/27TB_ 
17_18.pdf. 


21 Siehe S. 46 im Entwurf „Digitale-Versor- 
gung-Gesetz” vom 23.09.2019 (Endnote 4). 


22 Siehe Endnote 1. 
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23 Siehe Antrag der Fraktion BÜND- 
NIS90/DIE GRÜNEN, abrufbar unter: 
http://dip21.bundestag.de/dip21/ 
btd/19/135/1913539.pdf. Hier ist 
folgende Anmerkung zu finden: „Par- 
lamentarische Anfragen zeigen, dass 
das Bundesministerium für Gesundheit 
bereits seit April 2018 Kenntnis von dem 
fehlenden Berechtigungsmanagement 
hat”, und zwar unter Verweis auf: 
https://www.aerzteblatt.de/ 
nachrichten/105916/. 


24 Schneider, Einrichtungsübergreifende 
elektronische Patientenakten, Zwischen 
Datenschutz und Gesundheit, S. 526. 


25 Schneider, Einrichtungsübergreifende 
elektronische Patientenakten, Zwischen 
Datenschutz und Gesundheit, S. 527. 


26 Schneider, aaO, S. 527. 
27 Schneider, aaO, S. 527. 


28 Haftungsrechtliche Fragen sind im Bür- 
gerlichen Gesetzbuch geregelt (8 630h 
BGB). 


29 Siehe Antrag der Fraktion BÜND- 
NIS 90/DIE GRÜNEN, abrufbar unter 
http://dip21.bundestag.de/dip21/ 
btd/19/135/1913539.pdf. 


30 Siehe Antrag der Fraktion BÜNDNIS 90/ 
DIE GRÜNEN, aaO. 


31 Siehe Kapitel 6.3. „Problematische Ein- 
führung einer elektronischen Gesund- 
heitsakte”, S. 98, im Jahresbericht 2018 
der Berliner Beauftragten für Daten- 
schutz und Informationsfreiheit, abruf- 
bar unter https://www.datenschutz- 
berlin.de/fileadmin/user_upload/pdf/ 
publikationen/jahresbericht/BlnBDI- 
Jahresbericht-2018-Web.pdf. 


32 Siehe Jahresbericht 2018 der Berliner 
Beauftragten für Datenschutz und Infor- 
mationsfreiheit, aaO. 


33 Siehe Jahresbericht der Berliner Beauf- 
tragte für Datenschutz und Informati- 
onsfreiheit, aaO. 


34 Siehe etwa den Bericht unter https:// 
www.heise.de/ct/artikel/Massive- 
Datenschutzmaengel-in-der- 
Gesundheits-App-Ada-4549354.html. 


35 Siehe Positionsbestimmung der der Kon- 
ferenz der unabhängigen Datenschutz- 
behörden des Bundes und der Länder 
zur Anwendbarkeit des TMG für nicht- 
öffentliche Stellen ab dem 25. Mai 2018, 
https://datenschutz.sachsen-anhalt. 
de/fileadmin/Bibliothek/Landesaemter/ 
LfD/PDF/binary/Konferenzen/ 
Nationale_Datenschutzkonferenz/ 
Unterlagen_der_DSK/95._Konferenz/ 
Positionsbestimmung-TMG.pdf vom 26. 
April 2018 sowie Orientierungshilfe der 
Aufsichtsbehörden für Anbieter von Te- 
lemedien, abrufbar unter https: //www. 
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datenschutzkonferenz-online.de/ 
media/oh/20190405_oh_tmg.pdf (März 
2019). Eine entsprechende Planung ist 
im Übrigen dem Vorschlag der ePrivacy- 
Verordnung zu entnehmen (Vorschlag 
für eine Verordnung des europäischen 
Parlaments und des Rates über die 
Achtung des Privatlebens und den 
Schutz personenbezogener Daten in der 
elektronischen Kommunikation und 
zur Aufhebung der Richtlinie2002/58/ 
EG (Verordnung über Privatsphäre 

und elektronische Kommunikation) v. 
10.01.2017, abrufbar unter https:// 
eur-lex.europa.eu/legal-content/DE/ 
TXT/PDF/?uri=CELEX:52017PC0010. 
Einen Überblick zum derzeitigen 
Verhandlungsstand der ePrivacy-Ver- 
ordnung stellt der bayerische Landes- 
beauftragte für den Datenschutz zur 
Verfügung, abrufbar unter: https://www. 
datenschutz-bayern.de/O/eprivacyVO. 
html. 


36 Eine gesetzliche Ausnahme war in 


& 73SGB 1b) SGB V a.F. (in der vor dem 
11.05.2019 geltenden Fassung des 

SGB V) geregelt. Danach durfte ein 
Hausarzt nur mit schriftlicher Einwil- 
ligung des Versicherten bei Leistungs- 
erbringern, die einen seiner Patienten 
behandeln, die den Versicherten betref- 
fenden Behandlungsdaten und Befunde 
zum Zwecke der Dokumentation und 
der weiteren Behandlung erheben. Auch 
umgekehrt durften die behandelten 
Leistungserbringer dem Hausarzt nur mit 
schriftlicher Einwilligung des Versicher- 
ten die Behandlungsdaten zum Zwecke 
der bei diesem durchzuführenden Doku- 
mentation und der weiteren Behandlung 
übermitteln. Die Neuregelung (in der am 
11.05.2019 geltenden Fassung durch 
Artikel 1 Gesetz vom 06.05.2019 BGBl. 
IS. 646) sieht lediglich vor, dass die 
Leistungserbringer verpflichtet sind, die 
den Versicherten betreffenden Behand- 
lungsdaten und Befunde mit dessen 
Zustimmung zum Zwecke der bei dem 
Hausarzt durchzuführenden Dokumen- 
tation und der weiteren Behandlung zu 
übermitteln. 


37 Zu betonen ist, dass eine Einwilligung 


stets freiwillig sein muss und die Infor- 
mationspflichten erfüllt sein müssen, 
sowohl hinsichtlich der Widerrufs- 
möglichkeit als auch hinsichtlich der 
Identität des Empfängers, des Zwecks 
und des Umfangs der beabsichtigten 
Datenübermittlung. 


38 Zu Datenschutz und Datenverarbei- 


tung in der Arztpraxis grundsätzlich: 
https://www.bundesaerztekammer.de/ 
fileadmin/user_upload/downloads/pdf- 
Ordner/Recht/Bekanntmachung_ 
Datenschutz-Check_09.03.2018.pdf. 


39 Die Aufsichtsbehörden haben eine Po- 


sitivliste für Fälle erarbeitet, für welche 


aufjeden Fall eine Datenschutz-Folgen- 
abschätzung erforderlich ist, abrufbar 
unter https://www.lda.bayern.de/ 
media/dsfa_muss_liste_dsk_de.pdf 
(Liste der Verarbeitungstätigkeiten, für 
die eine Datenschutz-Folgenabschät- 
zung durchzuführen ist). 


40 Siehe https://patientenrechte- 
datenschutz.de/2019/08/21/spahns- 
gesundheitsnetz-als- 
verantwortungsfreie-zone/. 


41 Siehe Unabhängiges Landeszentrum für 
Datenschutz Schleswig-Holstein, „Die Da- 
tenschutz-Grundverordnung tritt in Kraft 
- das müssen selbstständige Heilberufler 
beachten“, abrufbar unter: https://www. 
datenschutzzentrum.de/artikel/1220- 
Die-Datenschutz-Grundverordnung-tritt- 
in-Kraft-das-muessen-selbststaendige- 
Heilberufler-beachten.html. In dem Papier 
wird außerdem daraufverwiesen, dassin 
besonders gelagerten Fällen etwas anderes 
gilt (wie bei der Benennung von betrieb- 
lichen Datenschutzbeauftragten), und 
zwarin den Fällen, in denen der Umfang 
der Verarbeitung von Gesundheitsdaten 
(oder anderen sensiblen Daten wie z.B. 
genetischen Daten) weit über das hinaus- 
geht, was in einer üblichen Arztpraxis 
anzutreffen ist. 


42 Siehe Pressemitteilung der Berliner 
Beauftragten für Datenschutz und In- 
formationsfreiheit vom 13.12.2018, ab- 
rufbar unter: https://www.datenschutz- 
berlin.de/fileadmin/user_upload/pdf/ 
pressemitteilungen/2018/20181213- 
PM-Elektronische_Gesundheitsakte.pdf. 


43 Siehe Pressemitteilung der Berliner 
Beauftragten für Datenschutz und Infor- 
mationsfreiheit vom 13.12.2018, aaO. 


44 Siehe Pressemitteilung der Berliner 
Beauftragten für Datenschutz und Infor- 
mationsfreiheit vom 13.12.2018, aaO. 


45 Siehe Schreiben des Hamburgischen 
Beauftragten für Datenschutz und Infor- 
mationsfreiheit, abrufbar unter https:// 
www.datenschutzbeauftragter-info.de/ 
wp-content/uploads/2018/02/ 
schreiben-der-aufsichtsbehoerde.pdf. 


46 Der Hamburgische Beauftragte für Daten- 
schutz und Informationsfreiheit, Tätig- 
keitsbericht 2014/2015, 5. 33, abrufbar 
unter: https://datenschutz-hamburg.de/ 
assets/pdf/25._Taetigkeitsbericht_ 
Datenschutz_2014-2015_HmbBfDI_01. 
pdf. 


47 Der Bundesbeauftragte für den Daten- 
schutz und die Informationsfreiheit, 
abrufbar unter https://www.bfdi.bund. 
de/DE/Home/Kurzmeldungen/2019/ 
KommunikationKrankenkassen.html. 


48 Der Bundesbeauftragte für den Daten- 
schutz und die Informationsfreiheit, 
aal. 
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49 Siehe Kurzpapier Nr. 9 der Datenschutz- 
konferenz, abrufbar unter https:/ /www. 
lda.bayern.de/media/dsk_kpnı_9_ 
zertifizierung.pdf. 


50 Siehe TÜV Rheinland: Stellungnahme zur 
Berichterstattung über die Sicherheit 
von Vivy-App vom 31.10.2018, abruf- 
bar unter: https://www.tuv.com/de/ 
deutschland/ueber_uns/presse/ 
meldungen/newspdfde_410304.jsp. 


51 Siehe TÜV Rheinland, aaO. 


52 Siehe Antrag der Fraktion BÜND- 
NIS 90/DIE GRÜNEN, abrufbar unter 
http://dip21.bundestag.de/dip21/ 
btd/19/135/1913539.pdf. 


53 Christl/Spiekermann, Networks ofCon- 
trol, AReport on Corporate Surveillance, 
Digital Tracking, Big Data and Privacy, 

S. 21 ff. 


54 Die Autoren Christl/Spiekermann (aa0 
S. 22) verweisen u.a. auf eine bereits 
aus dem Jahre 1990 stammende Studie, 
in welcher festgestellt wurde, dass 
allein durch die Kombination durch 
Postleitzahl, Geschlecht und Geburtstag 
eine Reidentifizierung in 87% der Fälle 
möglich ist. 


55 Siehe hierzu bereits die Orientierungs- 
hilfe - Cloud Computing der Arbeits- 
kreise Technik und Medien der Konferenz 
der Datenschutzbeauftragten des Bundes 
und der Länder sowie der Arbeitsgruppe 
Internationaler Datenverkehr des Düs- 
seldorfer Kreises aus dem Jahre 2014, 
abrufbar unter https://www. 
datenschutzkonferenz-online.de/ 
media/oh/20141009_oh_cloud_ 
computing.pdf. 
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56 Orientierungshilfe - Cloud Computing, 
aa0. 


57 Orientierungshilfe - Cloud Computing, 
aa. 


58 Siehe Endnote 12 zum Gutachten der 
Datenethikkommission, 5. 140. 


59 Siehe S. 39 des Entwurfs „Digitale- 
Versorgung-Gesetz” vom 23.09.2019, 
Endnote 4. 


60 Siehe S. 39 des Entwurfs „Digitale- 
Versorgung-Gesetz” vom 23.09.2019, 
Endnote 4. 


61 Siehe Stellungnahme des Bundesrates 
zum Entwurf „Digitale-Versorgung- 
Gesetz” vom 23.09.2019, S. 98, 
Endnote 4. 


62 Siehe Stellungnahme des Bundesrates 
zum Entwurf Digitale-Versorgung-Ge- 


setz“ vom 23.09.2019, S. 94, Endnote 4. 


Gemäß der Ausführungen des Bundes- 
rates sollten hierbei aus datenschutz- 
rechtlichen Gründen pseudonymisierte 
Daten nur zur Fortführung bereits 
existierender Langzeitdatenbanken 
übermittelt werden dürfen, die durch 
Datenübermittlung gemäß 8 75 SGBX 
aufgebaut wurden und eine entspre- 
chende Prüfung durchlaufen haben. 
Der Bundesrat fordert weiterhin, im 
weiteren Gesetzgebungsverfahren auf 
eine Löschung der versichertenbezo- 
genen Einzeldatensätze nach 30 Jahren 
in begründeten Fällen zu verzichten. 


63 Siehe Endnote 12 zum Gutachten der 
Datenethikkommission, 5. 139. 
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64 Siehe Antrag der Fraktion BÜND- 
NIS 90/DIE GRÜNEN, abrufbar unter 
http://dip21.bundestag.de/dip21/ 
btd/19/135/1913539.pdf. 


65 Siehe Antrag der Fraktion BÜNDNIS 90/ 
DIE GRUNEN, aaO. 


66 Siehe Gutachten der Datenethikkommis- 
sion, S. 139. 


67 Siehe Endnote 12 zum Gutachten der 
Datenethikkommission, S. 122. Die 
Datenethikkommission betont gleicher- 
maßen, dass zum Ausbau der partizipa- 
tive Auf- und Ausbau der elektronischen 
Patientenakte (ePa) sowie die Weiterent- 
wicklung von Verfahren zur Prüfung und 
Bewertung digitaler Gesundheitsanwen- 
dungen im ersten und zweiten Gesund- 
heitsmarkt gehöre. 


68 Siehe https://www.heise.de/newsticker/ 
meldung/Unsicher-konfigurierte- 
Server-leaken-Daten-von-Millionen- 
Patienten-4531255.html. 


69 Siehe Empfehlung der Datenethikkom- 
mission für eine partizipative Entwick- 
lung der elektronischen Patientenakte 
(ePA) vom 28.11.2018, abrufbar unter: 
https://www.bmjv.de/SharedDocs/ 
Dowmnloads/DE/Ministerium/ 
ForschungUndWissenschaft/DEK_ 
Empfehlungen_ePA.pdf. 


70 Spiekermann, Digitale Ethik: Ein Wer- 
tesystem für das 21. Jahrhundert, April 
2019. Siehe auch ihre Aussage: „...wie 
wir auf allen Ebenen der Gesellschaft 
besser und weiser mit dem Digitalen 
umgehen sollten.” 
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Datenschutznachrichten aus Deutschland 


Bund 


Kritik an StPO-Änderungen 
zu DNA-Analysen 


Das Bundeskabinett bestätigte am 
23.10.2019 eine Novelle zur Strafpro- 
zessordnung (StPO), die von Bürger- 
rechts- und Anwaltsorganisationen 
kritisiert wurde. So warnte der Deut- 
sche Anwaltsverein (DAV) vor dem 
„labubruch”, Ermittlern neue Befug- 
nisse zur DNA-Analyse zu geben. DAV- 
Hauptgeschäftsführer Philipp Wendt 
sprach von einem „unzulässigen Ein- 
griff in das Persönlichkeitsrecht”, 
wenn künftig DNA-Spuren unbekann- 
ter Personen vom Tatort auf die Farbe 
von Augen, Haut und Haaren analy- 
siert werden dürfen. Auch das unge- 
fähre Alter von Gesuchten soll ermit- 
telt werden können, um Fahndungen 
zu erleichtern. Wendt forderte, der 
Bundestag solle den Passus kippen. 
Der Kriminologe Christian Pfeiffer 
kritisierte, der Entwurf wecke „Erwar- 
tungen, die nicht erfüllbar sind”. Die 
Wissenschaft sei noch nicht weit ge- 
nug. Vorhersagen liegen bei blonden 
Haaren z. B. in nur 70% der Fälle rich- 
tig: „Der Innenminister muss Geld in- 
vestieren, damit die Forschung voran- 
kommt.” Im Bundesrat wurden schon 
Änderungswünsche vorgetragen. Die 
niedersächsische Justizministerin 
Barbara Havliza (CDU) will erreichen, 
dass auch das Alter von Beschuldig- 
ten ermittelt werden darf, wenn dieses 
nicht aus Dokumenten sicher hervor- 
geht: „Eine DNA-Untersuchung ist für 
den Betroffenen ein wesentlich gerin- 
gerer Eingriff als die bisherigen Me- 
thoden. Es ist ein Unterschied, ob ein 
Röntgengerät zum Einsatz kommt oder 
ein Wattestäbchen.” DNA lässt sich mit 
einer Speichelprobe gewinnen. Sollte 
das neue Gesetz verabschiedet wer- 
den, so müssten die Behörden bun- 
desweit knapp 5 Mio. € allein für neue 
Analysegeräte ausgeben (Streit um 
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DNA-Analysen zu Fahndungszwecken, 
Der Spiegel Nr. 44 26.10.2019, 26). 


Bund 


Daten-Ethikkommission 
legt Bericht vor 


Die Daten-Ethikkommission der Bun- 
desregierung, ein Gremium aus Juris- 
tInnen, WirtschaftsvertreterInnen und 
VerbraucherschützerInnen, das 2018 
von der damaligen Bundesjustizminis- 
terin Katarina Barley (SPD) und Bun- 
desinnenminister Horst Seehofer (CSU) 
ins Leben gerufen wurde, um ethische 
Leitlinien für die Digitalisierung zu 
erarbeiten, legte am 23.10.2019 ihren 
Bericht vor. Es geht um Rahmenbe- 
dingungen zur Anwendung künstli- 
cher Intelligenz und die Stärkung der 
Rechtssicherheit für die Verbrauche- 
ıInnen bei gleichzeitiger Offenheit für 
die Chancen der Digitalisierung. Der 
Tenor des Gutachtens ist: Ohne staatli- 
che Kontrolle im Netz nehmen Grund- 
rechte Schaden. 

Die Medizinethikerin Christiane 
Woopen, eine der SprecherInnen der 
Daten-Ethikkommission, erklärte: 
„Die große Herausforderung besteht 
darin, die Vorteile der Digitalisierung 
im Alltag und in der Wirtschaft vor- 
an zu bringen. Dabei muss aber auch 
Rechtssicherheit bestehen.” Bei allen 
Chancen brächten digitale Technolo- 
gien auch „erhebliche Risiken für die 
Grundrechte von Menschen“. In dem 
Gutachten warnt die Kommission vor 
ethisch nicht vertretbaren Datennut- 
zungen wie „Totalüberwachung, die 
Integrität der Persönlichkeit verlet- 
zende Profilbildung, gezielte Ausnut- 
zung von Vulnerabilitäten“ oder „dem 
Demokratieprinzip zuwiderlaufender 
Beeinflussung politischer Wahlen“. Die 
„systematische Schädigung von Ver- 
brauchern” müsse bekämpft werden. 
Vorhandene Gesetze würden „bislang 


nicht in ausreichender Weise genutzt 
- insbesondere gegenüber marktmäch- 
tigen Unternehmen”. 

Die Kommission lehnt die Anerken- 
nung von „Dateneigentum” ab, also die 
unwiderrufliche Übergabe personenbe- 
zogener Daten wie z. B. Gesundheits- 
informationen an Versicherungskon- 
zerne. Die Verwendung der Daten zur 
personalisierten Risikoeinschätzung 
sollten eng begrenzt werden. Zudem 
fordert das Gutachten, dem „erhebli- 
chen Vollzugsdefizit” beim Schutz von 
Kindern und Jugendlichen im digitalen 
Raum abzuhelfen. Für algorithmische 
Systeme sollen künftig mehr Kontrolle 
und eine gestaffelte Risikoeinschät- 
zung gelten. Die Kommission emp- 
fiehlt, sie in fünf Risikoklassen einzu- 
teilen, je nach drohendem Schaden für 
Verbraucherrechte. Algorithmen mit 
„unvertretbarem Schädigungspoten- 
zial“ sollen verboten werden können. 
Klaus Müller, Vorstand des Verbrau- 
cherzentrale Bundesverbands, erläu- 
tert „Wir brauchen Aufsichtsinstituti- 
onen, die Algorithmen überprüfen und 
sicherstellen, dass Verbraucher nicht 
benachteiligt werden.” Fragt man ihn, 
wie so viel Netzkontrolle funktionieren 
soll, verweist er auf die Frankfurter 
Börse. Dort sei Algorithmenkontrol- 
le längst etabliert: „Wo ein Wille war, 
war auch ein Weg“ (von Bullion, Auf- 
sicht für Algorithmen, SZ 23.10.2019, 
18; Link zum Gutachten: https:// www. 
bmjv.de/SharedDocs/Downloads/DE/ 
Themen/Fokusthemen/Gutachten 
DEK_DE.html). 


Bund 


GFF erhebt Verfassungsbe- 
schwerde gegen BKA-G 


Ein Jahr nachdem das Bundeskri- 
minalamt (BKA) in einem BKA-Gesetz 
(BKA-G) neue Befugnisse zum Spei- 
chern von personenbezogenen Daten 
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erhalten hat, werden diese Regeln 
durch das Bundesverfassungsgericht 
(BVerfG) überprüft. Die Organisation 
Gesellschaft für Freiheitsrechte (GFF) 
bemängelt in einer Verfassungsbe- 
schwerde, dass „weite Kreise der Bevöl- 
kerung“” in Gefahr geraten, durch einen 
Eintrag in der neuen BKA-Datenbank 
„stigmatisiert” zu werden. Die neu 
eingeführten Löschfristen seien „teils 
inkonsistent” und „inhohem Maße un- 
bestimmt”, so der Vorsitzende der GFF, 
der Berliner Richter Ulf Buermeyer. 

Eine Sprecherin des BVerfGs bestä- 
tigte, dass die Klageschrift bereits im 
Mai 2019 eingereicht wurde. Der Erste 
Senat hatte das Gesetz schon einmal 
geprüft und die umfangreichen Befug- 
nisse der Ermittler zur Terrorabwehr 
2016 zum Teil für verfassungswidrig 
erklärt. Damals stellten die Richter „in 
etlichen Einzelvorschriften unverhält- 
nismäßige Eingriffe” fest. Das Gesetz 
musste daraufhin überarbeitet werden; 
die neue Fassung ist seit Mai 2018 in 
Kraft. Der GFF geht das nicht weit ge- 
nug. Siemahnt eine „noch nicht ausge- 
leuchtete Lücke im Verfassungsrecht” 
an. Kontaktpersonen von Verdächtigen 
könnten zu leicht selbst Opfer heim- 
licher Überwachung werden. Die GFF 
hält weiterhin den Einsatz von Troja- 
nern zum Ausspähen von Computern 
und Handys für verfassungswidrig. 

Das BKA darf in seiner Datenbank 
nicht nur Verurteilte, Beschuldig- 
te und Verdächtige speichern, son- 
dern auch Personen, die bisher keine 
Straftat verübt haben, bei denen aber 
trotzdem ein „Anlass“ bestehe, „weil 
tatsächliche Anhaltspunkte dafür vor- 
liegen, dass die betroffenen Personen 
in naher Zukunft Straftaten von erheb- 
licher Bedeutung begehen werden“. 
Eine vergleichbare Regelung gab es 
schon früher. Die GFF bemängelt aber, 
bei der BKA-G-Reform sei es versäumt 
worden, die Prognosekriterien genauer 
zu fassen. Verfassungsrechtlich über- 
prüft worden ist diese Präventiv-Spei- 
cherung bisher noch nie. 

Auch darf das BKA vormals Verdäch- 
tige einer Straftat selbst dann weiter- 
speichern, wenn sie vor Gericht freige- 
sprochen wurden oder ihr Strafverfah- 
ren eingestellt worden ist. Das BKA-G 
verpflichtet das BKA nur dann zur Lö- 
schung, wenn das Gericht dem Betrof- 
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fenen ausdrücklich bescheinigt hat, 
dass seine Unschuld erwiesen ist. So 
etwas komme in der Praxis selten vor, 
kritisiert der Mainzer Rechtsprofessor 
Matthias Bäcker. Bäcker hat die GFF- 
Verfassungsbeschwerde formuliert und 
vertritt den Fallin Karlsruhe: „Der Be- 
schuldigte hat auch keine prozessuale 
Möglichkeit, eine solche Feststellung 
zu erwirken.” Daher soll auch diese Re- 
gelung - die esin ähnlicher Form eben- 
so schon früher gab - erstmals verfas- 
sungsrechtlich überprüft werden. 

Ein Kernpunkt der 2018 reformierten 
Datenverarbeitung des BKA war es, die 
bisherige Trennung zwischen den Da- 
ten vieler Betroffener aufzuheben. Wo 
bisher einzelne Dateien wie „Gewalt- 
täter Sport” oder „Politisch motivierte 
Kriminalität - rechts“ nebeneinander 
existierten, wurden diese Dateien zu 
einem großen Datenpool zusammenge- 
legt. Das Ziel dieser Reform war es zu 
vermeiden, dass die BKA-ErmittlerIn- 
nen langwierig in einzelnen Dateien 
suchen müssen. Sie sollen mit geringe- 
rem Aufwand das gesamte Wissen digi- 
talzur Verfügung haben, u. a. umleich- 
ter Zusammenhänge erkennen können, 
zum Beispiel Querbezüge zwischen Ter- 
rorismus und organisierter Kriminali- 
tät. Gemäß der Verfassungsbeschwerde 
der GFFtrennt das BKA dabei aber nicht 
mehr sauber genug zwischen Personen, 
die einst wegen bloßer Bagatelldelikte 
oder sogar nur als Zeugen in eine BKA- 
Datei hineingelangt sind, und Schwer- 
kriminellen. Damit würde das Zweck- 
bindungsprinzip ausgehebelt. Wenn 
die Polizei eine BürgerIn nur zu einem 
bestimmten Zweck, zum Beispiel der 
Aufklärung eines Fahrzeugdiebstahls, 
speichern durfte, dann dürfen die Da- 
ten traditionell auch nur zu diesem 
Zweck genutzt werden. Diese rechts- 
staatliche Sicherung gehe verloren, 
so die Kritik, wenn alle Daten in einem 
großen Pool landen. 

Zwar sieht das BKA-G vor, dass be- 
sonders heikle persönliche Daten wei- 
terhin nur zu besonders wichtigen Zwe- 
cken genutzt werden dürfen. Die BKA- 
Ermittler sollen „abgestufte” Zugriffs- 
rechte auf die Daten erhalten. Sobald 
jedoch ein besonders wichtiges Ziel wie 
die Terrorabwehr im Raum steht, kann 
das BKA, so die GFF, recht mühelos 
Daten auch von Kleinkriminellen oder 


von gänzlich Unverdächtigen heran- 
ziehen und lange in seiner Datenbank 
behalten. Im Namen der Terrorabwehr 
könne das BKA „neben Daten über "Ge- 
fährder” auch etwa Daten über Dritte 
ohne besonderen Anlass bevorraten, 
wenn sich nur irgendwie begründen 
lässt, dass diese Daten einmal zur Ter- 
rorabwehr” beitragen können, heißt es 
in der Beschwerdeschrift. Schon „lose 
und oberflächliche soziale Kontakte” 
könnten genügen. Dies könne für Be- 
troffene spürbare Folgen haben, „wenn 
eine Polizeibehörde in einer tatsächli- 
chen oder vermeintlichen Krisensitua- 
tion zur Lagebeurteilung auf die bevor- 
rateten Daten zugreift”. 

Die Verfassungsbeschwerde ist im 
Namen von fünf BürgerInnen erhoben 
worden, die fürchten, unter den neuen 
Regeln zu leiden. Zu ihnen gehört die 
Strafverteidigerin Ricarda Lang aus 
München, die häufig Terrorverdächtige 
vertritt und deshalb viel mit deren Um- 
feld kommuniziert. Neben einer weite- 
ren Strafverteidigerin beteiligen sich 
auch zwei Fanaktivisten der Fußball- 
vereine 1860 München und Werder Bre- 
men, die sich schon bisher gegen ihre 
Speicherung in einer „Informations- 
datei Fußball” beziehungsweise einer 
Datei „Gewalttäter Sport” gewehrt hat- 
ten. Hinzu kommt der Münchner linke 
Aktivist Kerem Schamberger, der seit 
längerem beklagt, bei Grenzkontrollen 
stets aufgehalten zu werden, weil er 
als „potenzieller“ künftiger Straftäter 
in Polizeidatenbanken gespeichert sei 
(Steinke, Verfassungsbeschwerde ge- 
gen BKA-Gesetz; SZ 04.09.2019, 1, 5; 
Deck, Verfassungsbeschwerde gegen 
nachgebessertes BKA-Gesetz, www. 
spiegel.de 04.09.2019). 


Bund 


Upskirting soll strafbar 
werden 


Gemäß dem Willen von Bundesjustiz- 
ministerin Christine Lambrecht (SPD) 
soll das heimliche Fotografieren unter 
Röcke und Kleider durch eine Ände- 
rung des Strafgesetzbuchs unter Strafe 
gestellt werden: „Wer Frauen und Mäd- 
chen heimlich unter den Rock fotogra- 
fiert, greift massiv in ihre Intimsphäre 
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und ihr Persönlichkeitsrecht ein.” So- 
genanntes Upskirting weiterhin höchs- 
tens als Ordnungswidrigkeit zu ahn- 
den, biete keinen effektiven Schutz 
und mache Tätern nicht klar, dass ihr 
„demütigendes und herabwürdigendes 
Verhalten“ absolut inakzeptabel sei. 
„Aktuell erarbeiten wir Vorschläge, wie 
eine solche Strafnorm aussehen kann, 
und wollen das zügig umsetzen.” Mit- 
te August 2019 hatte Rheinland-Pfalz 
eine entsprechende Initiative im Bun- 
desrat in Aussicht gestellt. Zuvor hat- 
ten Baden-Württemberg, Bayern und 
Nordrhein-Westfalen mitgeteilt, einen 
Gesetzentwurf im Bundesrat einzu- 
bringen. Darin ist vorgesehen, dass 
die Tathandlung mit bis zu zwei Jahren 
Gefängnis sanktioniert werden kann. 
Bestraft werden soll auch, wer solche 
Aufnahmen im Internet teilt oder per 
Messenger verschickt. Auch Schleswig- 
Holstein wollte sich daran beteiligen. 
Bislang sind solche Aufnahmen in 
der Regel nicht strafbar - es sei denn, 
das Opfer hält sich in einer Wohnung 
auf und die Aufnahmen verletzen den 
höchstpersönlichen Lebensbereich. 
Zwei junge Frauen hatten eine On- 
linepetition gestartet, um Upskirting 
unter Strafe zu stellen. Bis Mitte Sep- 
tember 2019 hatten sich schon mehr 
als 85.000 Unterzeichnende ihrer Initi- 
ative angeschlossen (Heimliches Foto- 
grafieren unter Röcke soll bestraft wer- 
den, www.zeit.de 12.09.2019; Strafen 
für „Upskirting”, SZ 13.09.2019, 7). 


Bund 


BSI warnt vor BSI-Fake- 
Mails 


Das Bundesamt für Sicherheit in der 
Informationstechnik (BSI) warnte 
Ende Juli 2017 vor einer Spam-Mail, die 
angeblich von ihm stammt: „Getarnt 
als BSI verschicken Kriminelle aktu- 
ell Schadsoftware per Mail.” Die mit 
Bundesadler im Briefkopf versehenen 
Mails stammten nicht vom BSI, auch 
wenn als Absenderadresse „meldung®@ 
bsi-bund.org“ genannt ist. Im Fließ- 
text warnt die Behörde den Adressaten 
angeblich vor einem „möglichen Miss- 
brauch Ihrer Daten“. Angehängt hat der 
Absender einen „Datensatz“ mit weite- 
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ren Informationen. Das BSI, gegründet 
1991, mit Sitz in Bonn ist als nationa- 
le Behörde für Cybersicherheit dem 
Bundesinnenministerium unterstellt. 
Adressaten sollten Mails, Links und 
Anhänge dieses Absenders also nicht 
öffnen. Immer wieder schicken Krimi- 
nelle Mails mit schädlichen Anhängen 
an Privatleute und Unternehmen. Nut- 
zer sollten daher grundsätzlich prüfen, 
ob sie den Adressaten der Mail kennen, 
rät das BSI, und ob Betreffzeile und 
Fließtext Sinn ergeben. „Ein unpräzise 
formulierter E-Mail-Betreff wie “Ihre 
Rechnung‘ oder “Mahnung” deutet 
auf eine Spam-Mail hin“, warnt die 
Behörde. Auch sollten sich Adressaten 
fragen, ob sie überhaupt einen Anhang 
von diesem Absender - beispielsweise 
die Rechnung für eine Bestellung im 
Onlineshop - erwarten (Behörde warnt 
vor Spam - angeblich von ihr selbst, SZ 
26.07.2019, 19). 


Bund 


KfZ-Sachverständige 
fordern Datenzugang 


Der zunehmende Einsatz moderner 
Fahrerassistenzsysteme und die Ent- 
wicklung hin zum automatisierten und 
vernetzten Fahren bedeutet für die 
KÜS (Kfz-Überwachungsorganisation 
freiberuflicher Kfz-Sachverständiger), 
dass sie für die gesetzlich vorgeschrie- 
benen Fahrzeugprüfungen Zugang zu 
den relevanten Daten haben müssen, 
um ihre Aufgabe im Sinne der Ver- 
kehrssicherheit für alle zu erfüllen. 
Beim Einbau der ersten elektronischen 
Systeme in neuen Fahrzeugen in den 
1980er und 1990er Jahren konnten 
nur die jeweiligen Hersteller Daten die- 
ser Systeme pflegen und auslesen. Mit 
der Verschärfung der Abgasgrenzwerte 
wurden die Schnittstelle und die Da- 
tenformate normiert, so dass über die 
gesetzlich vorgeschriebene OBD (On 
Board Diagnostic)-Buchse relevante 
Werte auch bei der Abgasuntersuchung 
im Rahmen der HU ausgelesen werden 
konnten. 

Meistens sind nur diese Daten für die 
Überwacher lesbar, andere Informati- 
onen dagegen häufig herstellerspezi- 
fisch formatiert. Für sie ist dann eine 


spezielle Übersetzung notwendig, an 
der unter anderem auch die Sachver- 
ständigenorganisation KÜS arbeitet. 
Aus Gründen der Cyber-Sicherheit be- 
ginnen einige Hersteller, die nicht ge- 
setzlich geregelten Informationen zu 
verschlüsseln, um den Zugriff auf die 
Schnittstelle und die Daten gegen den 
Zugriff Unberechtigter zu unterbinden 
- die dann beispielsweise den Motor 
während der Fahrt stoppen könnten. 
Die KÜS geht davon aus, dass alle Fahr- 
zeugherstellerihre Daten verschlüsseln 
werden. Sie fordert dem gegenüber ei- 
nen freien, uneingeschränkten Zugang 
zu allen Daten, die für die gesetzlich 
geregelten Fahrzeugprüfungen und 
deren Weiterentwicklung unabdingbar 
sei. Dies betreffe die Überwachungs- 
institutionen, das Kfz-Gewerbe und 
nicht zuletzt die Verkehrsteilnehme- 
ıInnen: „Die Datenhoheit muss beim 
Fahrzeughalter liegen.“ Ein Daten- 
monopol der Hersteller sei kontrapro- 
duktiv, da es allen mit dem Fahrzeug 
Befassten wichtige Daten vorenthalte. 
Eine Anpassung der Daten durch die 
Hersteller ist mittlerweile auch ohne 
Werkstattaufenthalt möglich. Mit dem 
Over-the-Air-Verfahren können Funk- 
tionen und Daten geändert werden, 
ohne dass der Halter oder andere davon 
etwas erfahren. Daher fordert die KÜS 
auch eine unabhängige Dokumenta- 
tion und Überprüfung der aktuellen 
Softwareversionen und von Updatevor- 
gängen. 

KÜS-Geschäftsführer Peter Schu- 
ler erklärte: „Wir sehen bei den sehr 
schnell voranschreitenden Technolo- 
gien im Bereich des automatisierten 
Fahrens Handlungsbedarf. Die Über- 
prüfung der Fahrzeuge durch die Prüf- 
organisationen muss möglich sein.” 
Ein Lösungsansatz für den Zugang zu 
Fahrzeugdaten ist aus Sicht der KÜS 
ein sogenanntes Trust-Center, in dem 
die Speicherung und Verwaltung über 
eine neutrale, von den Herstellern un- 
abhängige Fahrzeugdatenplattform er- 
folgen. Diese soll von einer beliehenen, 
also hoheitlichen Stelle betrieben wer- 
den. Gefordert wird zudem eine Zerti- 
fizierung des gesamten Weitergabepro- 
zesses von Fahrzeugdaten, um sicher- 
zustellen, dass ausschließlich Befugte 
Zugang zu den Daten der herstellerun- 
abhängigen Fahrzeugdatenplattform 
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bekommen. Ziel ist eine Standardi- 
sierung sowie die Verankerung in den 
internationalen Typgenehmigungsvor- 
schriften von Fahrzeugen (John, KÜS 
fordert Zugang zu den Daten, www. 
automobilwoche.de 10.09.2019). 


Bund 


Arbeitsunfähigkeits- 
bescheinigung soll digital 
werden 


Die Bundesregierung hat Ende Sep- 
tember 2019 beschlossen, die Krank- 
meldung auf Papier, den so genannten 
„gelben Schein“, abzuschaffen. Die Ar- 
beitgeber sollen künftig elektronisch 
über Beginn und Dauer der Arbeitsun- 
fähigkeit eines erkrankten Arbeitneh- 
mers informiert werden. Die Regelun- 
gen sind Teil des „Bürokratieentlas- 
tungsgesetz III”, das vom Bundestag 
und vom Bundesrat verabschiedet wer- 
den muss und zum 1.1.2021 in Kraft 
treten soll. 

Rund 77 Millionen Arbeitsunfähig- 
keitsbescheinigungen wurden im Jahr 
2017 ausgestellt. Mit der digitalen 
Krankschreibung, die in 8 109 SGB IV 
geregelt wird, will man den Aufwand 
verringern: Die Krankenkasse, die oh- 
nehin die Daten erhält, soll eine elek- 
tronische Meldung erstellen, die der 
Arbeitgeber abrufen kann. Der Versi- 
cherte selbst soll vom Arzt weiterhin 
eine Papierbescheinigung als Beweis- 
mittel erhalten. Von der Änderung 
nicht erfasst werden geringfügig in 
Privathaushalten Beschäftigte. Durch 
Verschlüsselung der Daten beim Aus- 
tausch und Authentisierungsverfahren 
soll die Vertraulichkeit der Kommu- 
nikation gewährleistet bleiben. Nach 
einem halben Jahr ist eine Evaluierung 
der Neuregelung geplant. 

Gemäß der Gesetzesbegründung 
sollen durch die digitale Krankschrei- 
bung auch die im Alltag immer wieder 
auftretenden Konflikte darüber ver- 
mieden werden, ob der gelbe Zettel 
pünktlich vorlag oder nicht. Für die 
Krankenkassen wird durch die Geset- 
zesänderung ein Mehraufwand von 
insgesamt 150 Mio. Euro vorausgesagt; 
für die Wirtschaft soll sich dagegen der 
Bürokratieaufwand um 549 Millionen 
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Euro verringern. Insgesamt sollen Un- 
ternehmen durch das „Bürokratieent- 
lastungsgesetz III” über verschiedene 
Maßnahmen pro Jahr mindestens 1,1 
Milliarden Euro einsparen können. 
Neben der digitalen Krankschreibung 
soll es künftig auch bei elektronisch 
gespeicherten Steuerunterlagen Er- 
leichterungen geben. Zudem ist bei 
Hotelübernachtungen ein digitaler 
Meldeschein vorgesehen (TW). 


Bundesweit 


R+V-Versicherung liest 
beim Bankkonto mit 


Die Wiesbadener R+V-Versicherung 
testet ein Angebot, bei dem das Konto 
einer Raiffeisen- oder Volksbank elekt- 
ronisch ausgewertet wird: Wer für eine 
bestimmte Summe einkauft, erhält 
automatisch ein Angebot zur Absiche- 
rung der gekauften Gegenstände, etwa 
eines Fernsehers, eines neuen Laptops 
oder eines Fahrrads. Damit sollen jun- 
ge Kunden angelockt werden: „Glück- 
wunsch! Viel Spaß mit Deinem Einkauf 
über 750 Euro.” So meldet sich eine 
App der R+V-Versicherung, wenn die 
KundIn sich vorher dort angemeldet 
hat. Das Gerät sei kostenlos für fünf 
Tage gegen Beschädigung versichert, 
„sogar dann, wenn Du selbst daran 
schuld bist”. Nach fünf Tagen kann die 
stolze BesitzerIn ihre Erwerbung dann 
gegen eine Prämie weiter versichern. 
Andere einzelne Wertgegenstände 
kann sie per Foto zu der Sammlung in 
der App hinzufügen und so absichern. 
Der Test von R+V wird mit KundInnen 
der Volksbank Berlin durchgeführt. 
Die App erfährt über die Kundenkäufe 
durch eine permanente Kontoanalyse. 
Diese wird durch die EU-Zahlungsdi- 
rektive von 2018 (PSD 2) ermöglicht, 
wenn die KundlIn einwilligt. Anja Hart- 
wig, die Projektverantwortliche bei 
der R+V erläutert: „Das System weiß, 
wenn mit Bankkarte oder Kreditkarte 
ein wertvoller Gegenstand erworben 
wurde”. Das muss nicht nur für Konten 
bei den genossenschaftlichen Raiff- 
eisen- und Volksbanken gelten: „Die 
Kundin oder der Kunde können Konten 
bei anderen Banken problemlos in die 
App integrieren.” 


Viele Versicherer haben das Problem, 
dass sie die internet-affine junge Gene- 
ration nicht erreichen. Die traditionellen 
Vertriebswege über Vertreter oder Bank- 
schalter versagen hier zunehmend. Wenn 
sich junge Menschen für den Abschluss 
interessieren, tun sie das meistens im 
Internet bei Vergleichsportalen oder Di- 
rektanbietern. Traditionelle Versicherer 
müssen fürchten, diese Zielgruppe für 
immer zu verlieren, auch wenn sie älter 
wird. Das Projekt von R+V soll dazu bei- 
tragen, mit dem Problem fertigzuwerden. 
Die Gesellschaft gehört den genossen- 
schaftlichen Raiffeisen- und Volksban- 
ken und kooperiert eng mit ihnen. Das 
neue Angebot kombiniert zwei Digitali- 
sierungstrends, über die in der Finanz- 
branche viel geredet wird: die Versiche- 
rung für einzelne Gegenstände, bei der 
die Police auch gleichzeitig eine Liste 
der Besitztümer ist, und die nun zulässi- 
ge Technik der permanenten Kontenana- 
lyse. Wenn die KundlIn die „Insurebox”- 
App nutzt und zugestimmt hat, „inter- 
essante Angebote” ihrer Bank und ihres 
Versicherers erhalten zu wollen, gewährt 
sie dafür den Zugriff aufihre Konten und 
Kreditkarten. Dann liest der Roboter des 
Versicherers ständig mit. 

Der Hauptunterschied zur klassischen 
Hausratpolice ist der eingebaute Schutz 
gegen selbst verschuldete Schäden. Das 
Angebot ist nicht billig. Hartwig: „Für 
Gegenstände mit einem Wert von 250 
Euro bis 1.000 Euro kostet der Schutz 45 
Euro bis 79 Euro pro Jahr.” Mit der Ver- 
sicherung einzelner Gegenstände statt 
der traditionellen Hausratversicherung 
versuchen schon andere Versicherer 
und Start-ups zu punkten. Die Ergeb- 
nisse sind verschieden. Die Schweizer 
Gesellschaft Baloise ist begeistert von 
ihrer Gegenstandsversicherung. Auch 
die Start-ups One in Deutschland und 
Trov in den USA bieten solche Policen 
an. Eine Reihe von Versicherern, dar- 
unter Munich Re und Axa, unterstüt- 
zen die neuen Anbieter. Allerdings hat 
Trov seine Gegenstandsversicherung 
in Großbritannien zum 01.10.2019 ge- 
schlossen. Die Kombination der Gegen- 
standsversicherung mit der Bankkonto- 
auswertung gilt bei vielen Versicherern 
als Königsweg, um im digitalen Zeitalter 
wieder mit den KundInnen in Kontakt 
zu kommen. KundInnen nutzen nor- 
male Versicherungs-Apps kaum, es sei 
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denn, sie reichen in der privaten Kran- 
kenversicherung Arztrechnungen und 
Rezepte online ein. Dagegen nutzen 
sie ihre Bank-App mehrmals in der Wo- 
che, manchmal sogar mehrmals pro Taq 
(Fromme, Wenn der Roboter das Konto 
liest, SZ 06.08.2019, 18). 


Bundesweit 


Kfz-Versicherungsrabatt 
mit Dashcam 


Die Versicherungsgruppe Die Baye- 
rische bietet AutofahrerInnen einen 
Rabatt von 15% bei ihrer Kfz-Versiche- 
rung, wenn sie eine Dashcam ins Auto 
einbauen. Das gilt für die Haftpflicht so- 
wie für eine etwaige Teil- oder Vollkas- 
koversicherung. Angebracht wird die 
Kamera entweder an der Windschutz- 
scheibe innen oder auf dem Armaturen- 
brett, um den vorausfahrenden Verkehr 
aufzeichnen zu können. 

Die erforderliche Kamera von Nextba- 
se kann mit einem 5%- Nachlass bei den 
Elektronikmärkten Saturn oder Media- 
markt oder bei Autoteile Unger (ATU) 
erworben werden. Die KundIn kann 
unter mehreren Kameras des Herstellers 
mit Preisen zwischen rund 70 und 216 € 
wählen, die sich durch ihre Auflösung, 
ihre Bildschirme und Konnektivität 
voneinander unterscheiden. Der BGH 
hatte am 15.05.2018 entschieden, dass 
die Nutzung von Dashcam-Aufnahmen 
zur Klärung von Haftungsfragen bei 
Unfällen nicht grundsätzlich ausge- 
schlossen ist, sprach sich aber gegen 
eine permanente Aufzeichnung des 
Verkehrsgeschehens durch Autofahrer 
aus (DANA 2/2018, 119 f.). Die Kame- 
ras müssen deshalb im sogenannten 
Loop-Recording-Verfahren arbeiten, 
wobei alte Aufnahmen kontinuierlich 
überschrieben und nur bei Unfällen 
dauerhaft gesichert werden, wofür Be- 
wegungssensoren sorgen. 

Die Versicherung führt an, dass eine 
Dashcam zu einem sichereren Fahrver- 
halten führen kann, weil die Kamera 
auch das eigene Fahrverhalten auf- 
zeichnet. Ein entscheidendes Argument 
für die Verwendung einer Dashcam sei 
zudem die schnelle Klärung von Un- 
fallhergängen. Sie unterstütze bei der 
Klärung der Schuldfrage, könne Be- 
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trugsversuche vermeiden und soll Zeit 
und Kosten langwieriger Verfahren spa- 
ren (Donath, Kfz-Versicherungsrabatt 
bei Dashcam-Nutzung, www.golem.de 
01.10.2019). 


Bundesweit 


E-Mail-Betrugsversuch 
nach Thomas-Cook-Pleite 


Der insolvente Reisekonzern Tho- 
mas Cook warnte seine KundInnen in 
Deutschland vor einer E-Mail-Betrugs- 
masche. Diese wurden dazu aufgefor- 
dert, sensible Daten wie beispielsweise 
Pass- oder Kreditkartendaten preiszu- 
geben. Die verschickten E-Mails sähen 
aus wie offizielle Nachrichten des Reise- 
unternehmens und stellen den Empfän- 
gerInnen eine Erstattung ihrer Thomas 
Cook-Reise in Aussicht. Das Unterneh- 
men stellte dazu klar: „Thomas Cook hat 
zu keiner Zeit Mails dieser Art an Kun- 
den verschickt. Bitte ignorieren Sie die- 
se Mails und löschen diese.” KundInnen 
der Thomas Cook Veranstalter (Thomas 
Cook Signature, Thomas Cook Signature 
Finest Selection, Neckermann Reisen, 
Öger Tours, Bucher Reisen und Air Ma- 
rin), die bis einschließlich 31.10.2019 
verreisen wollten, konnten ihre Reise 
wegen der Insolvenz nicht antreten. 
Erstattungs-Ansprüche müssen an den 
Insolvenzverwalter gerichtet werden. 
Nach der Insolvenz des britischen Mut- 
terkonzerns hatte auch die deutsche 
Thomas Cook am 25.09.2019 einen In- 
solvenzantrag gestellt (Thomas Cook 
warnt Kunden vor E-Mail-Betrug, www. 
sueddeutsche.de 29.09.2019). 


Bundesweit 


Deutschen geht Daten- 
schutzbewusstsein ab 


Gemäß einer aktuellen Umfrage mit 
3.200 Teilnehmenden zur Risikokom- 
petenz ist Datenschutz den Deutschen 
kaum einen Cent wert. In Anbetracht 
aktueller Großthemen wie Digitalisie- 
rung, Klimawandel, Alter, Geld oder 
Gesundheit attestiert der Risiko-Report 
2019 der Ergo-Versicherung den Bun- 
desbürgerInnen, die Sorge um die eige- 


ne Sicherheit gerne abzugeben. Beson- 
ders in Bereichen der Digitalisierung 
scheuen die meisten Befragten noch vor 
dem Neuen und halten am Altvertrauten 
fest. Neun von zehn Personen schenken 
ihrem Arzt mehr Glauben als einer Dia- 
gnose, die auf Künstlicher Intelligenz 
basiert. Auch bei der Pflege ziehen 85% 
der Befragten einen realen Menschen 
einem Pflegeroboter vor. Gleiches gilt 
für die Finanzberatung: Hier vertrauen 
69% eher einem Finanzberater als einem 
virtuellen Assistenten. 

Ein recht sorgloses Bild ergeben die 
Daten zum Bereich der Sozialen Medien. 
Obwohl bekannt ist, dass Facebook, 
Whatsapp oder Instagram Daten ihrer 
Nutzenden sammeln und verkaufen, 
sind 75% der Deutschen nicht gewillt, 
für den Schutz ihrer Daten überhaupt 
Geld auszugeben, auch nicht für Online- 
Angebote, wenn gegen Gebühr die Pri- 
vatsphäre geschützt würde. Mark Klein, 
Vorstandsvorsitzender Ergo Digital Ven- 
tures meinte: „Eine gute Aufklärung an 
Schulen zum Thema Datenschutz fehlt 
in Deutschland häufig.” Immerhin 40% 
der Deutschen gaben unter den meist 
gefürchteten Risiken nicht länger die 
Angst vor Terrorismus oder Krieg an, 
sondern jene vor Unwettern und Na- 
turkatastrophen als Folge des Klima- 
wandels (Deutsche übernehmen immer 
weniger Eigenverantwortung, www. 
springerprofessional.de 04.10.2019). 


Baden-Württemberg 


CDU will Polizeirecht weiter 
verschärfen 


Ein buntes Bündnis von Linken, 
Fußballfans und Jugendgruppen rief 
am 12.10.2019 zu einer landesweiten 
Demonstration auf gegen die von CDU- 
Innenminister Thomas Strobl beabsich- 
tigte Verschärfung des Polizeigesetzes. 
Hintergrund war ein nicht veröffent- 
lichter 160-seitiger Entwurf, mit dem 
Strobl Terroranschläge verhindern und 
in rechtlich geschützte Räume wie hei- 
mische PCs eindringen möchte. Dass er 
dieswill, hatteerschon 2018 verkündet. 
Der Inhalt des geplanten Gesetzespakets 
ist im Wesentlichen bekannt. Es geht 
um zusätzliche Befugnisse für die Poli- 
zei: von der Online-Durchsuchung über 
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die Schleierfahndung (verdachtsunab- 
hängige Kontrollen) bis hin zum Recht 
für die Polizei, BodyCams auch in Woh- 
nungen zu benutzen. Bekannt ist auch, 
dass sich die mitregierenden Grünen 
gegen die Pläne sperren. Fraktionschef 
Andreas Schwarz erklärt ein ums andere 
Mal, man habe vom „Rückgaberecht Ge- 
brauch gemacht”. 

Doch hinter den Kulissen ist Bewe- 
gung. Innen-Staatssekretär Wilfried 
Klenk (CDU), der das Thema seit Som- 
mer 2019 bearbeitet, und der Grünen- 
Innenexperte Uli Sckerl haben sich 
mehrfach getroffen. Sckerl berichtete 
darüber am 08.10.2019 seiner Fraktion. 
Auch die Grünen-Landesvorsitzenden 
reden mit und dies nicht immer mit dem 
selben Zungenschlag wie Sckerl. So ist 
es schwierig zu beurteilen, inwiefern 
„die Grünen” bereit sind, die Grenze zwi- 
schen Sicherheit und Bürgerrechten zu 
verschieben. 

Die Fraktion zeigt sich jedenfalls eher 
bereit als die Parteispitze, der Polizei den 
Einsatz von BodyCams in geschlossenen 
Räumen zu gestatten; nicht in Wohnun- 
gen, wie Strobl dies will, aber doch in 
Clubs oder Gaststätten. Sicherheitspoli- 
tiker wie der CDU-Abgeordnete Siegfried 
Lorek halten das zwar für unzureichend 
und argumentieren, fast täglich würden 
Beamte zu häuslichen Streitereien ge- 
rufen. Die CDU bohrt weiter und schlägt 
vor, den Kameraeinsatz auf Fälle mit Ge- 
fahr im Verzug zu beschränken. 

Da Strobl Maximalforderungen vorge- 
legt hat, verfügt er über Verhandlungs- 
masse. So soll er bereit sein, auf die prä- 
ventive DNA-Untersuchung zu verzich- 
ten. Dabei geht es um Spurenmaterial 
unbekannter Herkunft, das zur Verhü- 
tung von Straftaten auch auf Geschlecht, 
Haar- oder Hautfarbe untersucht werden 
darf. Auch die Schleierfahndung würde 
der CDU-Mann wohl opfern, wenn die 
Polizei dafür das Recht erhält, bei Groß- 
veranstaltungen Personenkontrollen 
vorzunehmen. Außerdem will er, dass 
Verdächtige für eine bestimmte Zeit prä- 
ventiv in Gewahrsam kommen können 
und stößt damit bei den Grünen nicht auf 
völlig taube Ohren. Die Online-Durchsu- 
chung von PCsjedoch giltbei den Grünen 
als unverhandelbar. 

Bis zum Jahreswechsel 2019/2020 
soll weiter verhandelt werden. Gleich- 
zeitig treibt Strobl ein Projekt voran, 
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das sich „Sicherer öffentlicher Raum” 
nennt. Es gehtaufden Koalitionsvertrag 
zurück und hat zum Ziel, das Sicher- 
heitsgefühl der BürgerInnen auf vielen 
Ebenen zu stärken. Deshalb sind in die 
Arbeitsgruppe gleich fünf Ministerien 
eingebunden. So überlegt man etwa im 
Verkehrsministerium, die Präsenz der 
Polizei in Bussen und Bahnen zu ver- 
stärken, indem man auch Kripobeam- 
tInnen kostenlos fahren lässt - bisher 
dürfen das nur Uniformierte. Im Jus- 
tizministerium wiederum sinniert man, 
wie Messerangriffe schärfer geahndet 
werden können. Das Sozialministerium 
wiederum arbeitet an Konzepten, das 
Nachtleben in Großstädten sicherer zu 
machen. So soll bis zum Jahresende 
ein bunter Strauß von Einzelmaßnah- 
men entstehen (Rieger, Strobl ringt mit 
den Grünen um mehr Rechte für Poli- 
zei, www.stuttgarter-nachrichten.de 
11.10.2019). 


Bayern 


Ermittlungen gegen 
Spionagesoftware- 
Hersteller Finfisher 


Die Staatsanwaltschaft München I er- 
mittelt gegen einen der bekanntesten 
deutschen Hersteller von auf Handys 
aufgespielter Spionagesoftware: die 
Finfisher GmbH in München. Finfisher- 
Software soll illegal - ohne Erlaubnis der 
zuständigen Behörde, des Bundesamtes 
für Wirtschaft und Ausfuhrkontrolle - 
exportiert worden sein. Eine Spreche- 
rin der Staatsanwaltschaft teilte mit, 
man gehe dem Verdacht des „Verstoßes 
gegen bestimmte Ausfuhrbestimmun- 
gen” nach. Ermittelt werde gegen „die 
verantwortlichen Geschäftsführer und 
Mitarbeiter der Finfisher GmbH und 
zweier weiterer GmbHs”. Auslöser waren 
Medienberichte aus dem Jahr 2018 und 
eine Anzeige durch die Organisationen 
Reporter ohne Grenzen (RoG), Netzpoli- 
tik.org, Gesellschaft für Freiheitsrechte 
(GFF) und European Center for Constitu- 
tional and Human Rights (ECCHR), die 
sich gegen Überwachung engagieren. 
Das Unternehmen wollte sich auf Nach- 
frage zu dem Vorgang nicht äußern. 

Spähsoftware wird rechtlich zwar 
nicht als Waffe eingestuft, wird aber 


als so heikel bewertet, dass ihr Export 
nur unter bestimmten Bedingungen 
erlaubt ist. Seit 2015 werden Software 
und Geräte, mit denen sich Menschen 
ausspionieren lassen, als sogenannte 
Dual-Use-Produkte klassifiziert, die 
zivilen wie militärischen Zwecken die- 
nen können. Ähnliche Regeln gelten 
etwa für Chemikalien, die sowohl für 
Gift als auch für Antriebstechnik be- 
nutzt werden könnten. Um Missbrauch 
zu vermeiden, müssen die Güter einer 
nationalen Behörde vorgelegt werden, 
bevor sie in ein Nicht-EU-Land ver- 
kauft werden. Laut der Anzeige wurde 
die Finfisher-Software „Finspy” in der 
Türkei gegen die größte Oppositions- 
partei CHP eingesetzt. Offenbar wurde 
versucht, Oppositionelle im Umfeld des 
„Marsches der Gerechtigkeit” auszu- 
spähen, wie 2018 bekannt wurde. Der 
Marsch von Ankara nach Istanbul ein 
Jahr zuvor war eine Protestaktion der 
CHP gegen Präsident Erdogan. 

Über soziale Netzwerke wurde damals 
eine Webseite beworben, die vermeint- 
lich von Sympathisierenden des Mar- 
sches betrieben wurde. Die Verbreiter 
nutzten den Hashtag, den die Demons- 
trantInnen und ihre UnterstützerInnen 
verwendeten. Tatsächlich befand sich 
auf der Webseite Schadsoftware zum 
Download. Die Anzeigesteller beschrei- 
ben diese so: „Nach dem Herunterladen 
auf ein mobiles Gerät ermöglichte diese 
Android-Anwendung, bei der essich um 
Malware handelt, dem Angreifer den Zu- 
gang zu Telefon-und VoIP-Gesprächen, 
Datensystemen, Screenshots und ande- 
ren Fotos, GPS-Daten, Mikrofonen und 
Verbindungsdaten sowie zu verschie- 
denen Anwendungen, unter anderem 
Whatsapp, Line, Viber, Telegram, Skype, 
Facebook Messenger.” Nach erfolgrei- 
cher Infektion hätten die digitalen An- 
greifer das Handy praktisch komplett 
überwachen können. Es habe sich dabei 
„mit an Sicherheit grenzender Wahr- 
scheinlichkeit” um Finspy gehandelt. 

Eine Quellcodeanalyse der Organisati- 
on Access Now, die der Anzeige zugrun- 
de liegt, legt nahe, dass die eingesetzte 
Software aus dem Jahr 2016 stammt. 
Die Spähsoftware verwende digitale 
Werkzeuge, die es erst seit 2016 gibt. 
Sie enthalte zudem digitale Signaturen, 
die erst nach 2015 ausgestellt wurden. 
Thorsten Holz, Professor für IT-Sicher- 
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heit an der Ruhr-Universität Bochum, 
bestätigt die Analyse. Ein Sprecher des 
Bundeswirtschaftsministeriums gibt 
allerdings an, von solchen Exporten 
nichts zu wissen. „Die Bundesregierung 
hat keine solchen Einzelgenehmigun- 
gen für die Ausfuhr von Intrusion-Soft- 
ware erteilt.” Den Anzeigestellenden 
zufolge muss der Export also illegal zwi- 
schen Oktober 2016 und Juli 2017 statt- 
gefunden haben. 

Finfisher verspricht auf seiner Fir- 
menseite, „ausschließlich mit Strafver- 
folgungsbehörden und Geheimdiens- 
ten” zusammenzuarbeiten, um „Terror 
und Gewaltverbrechen zu verhindern 
und aufzuklären“. Die Software ist aber 
auch berüchtigt, weil sie von undemo- 
kratischen Systemen eingesetzt wurde. 
Fachleuten zufolge haben sie Dutzende 
Staaten gegen ihre BürgerInnen einge- 
setzt, darunter Bahrain und Äthiopien. 
In Deutschland soll das Unternehmen 
die Bundestrojanersoftware entwickeln. 
Mit der soll das Bundeskriminalamt - 
wenn ein Richter es erlaubt - die Han- 
dys Verdächtiger überwachen (Brühl/ 
Eckert/Tanriverdi/Wormer, Geheime 
Einblicke, SZ 05.09.2019, 17). 


Berlin 


Bußgeld gegen Delivery 
Hero 


Die Berliner Datenschutzbeauftragte 
Maja Smoltczyk hat gegen die Liefer- 
firma Delivery Hero Bußgelder in Höhe 
von insgesamt 195.407 Euro wegen Ver- 
stößen gegen das Datenschutzrecht, 
insbesondere gegen die Datenschutz- 
Grundverordnung (DSGVO) verhängt. 
Die Firma hat vor allem Betroffenen- 
rechte nicht beachtet und Konten von 
Ex-KundInnen nicht gelöscht. Der 
niederländische Konzern Takeway.com 
hat gemäß Behördenangaben als neuer 
Eigner des Lieferdienstes die Bescheide 
akzeptiert und versichert, die inter- 
nen Prozesse noch einmal gründlich zu 
überprüfen. 

Mit den Geldbußen ahndete Smolt- 
czyk nach eigenen Angaben „diverse 
datenschutzrechtliche Einzelverstöße” 
des Unternehmens. Dieses habe in der 
Mehrzahl der Fälle Betroffenenrechte 
nicht beachtet, die sich etwa auf Aus- 
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kunft über die Verarbeitung der eigenen 
Daten, auf Löschung oder Widerspruch 
beziehen. So habe Delivery Heroin zehn 
Fällen Konten ehemaliger KundInnen 
nicht gelöscht, obwohl diese jahre- 
lang - in einem Fall sogar seit dem Jahr 
2008 - nicht mehr auf der Lieferdienst- 
Plattform aktiv gewesen seien. Acht 
frühere KundInnen hatten sich ferner 
über unerwünschte Werbe-E-Mails be- 
schwert. Ein Geschädigter, der der Nut- 
zung seiner Daten für Werbezwecke aus- 
drücklich widersprochen hatte, erhielt 
dennoch weitere 15 Spamschreiben von 
dem Dienst, zu dem Foodora, Lieferheld 
und Pizza.de gehören. 

Delivery Hero Germany hatte einige 
der Verstöße mit technischen Fehlern 
bzw. Mitarbeiterversehen erklärt. Auf- 
grund der hohen Anzahl an wiederhol- 
ten Verstößen sei jedoch von „grund- 
sätzlichen, strukturellen Organisations- 
problemen” auszugehen gewesen. Trotz 
vielfacher Hinweise habe die Firma über 
einen langen Zeitraum keine ausrei- 
chenden Maßnahmen umgesetzt, „die 
die pflichtgemäße Erfüllung der Rechte 
der Betroffenen sicherstellen konnten“. 
Die Sanktionen ergingen in zwei Be- 
scheiden, da ein Teil der Verstöße noch 
nach dem alten Datenschutzrecht vor 
der DSGVO zu beurteilen war. Der Bun- 
desdatenschutzbeauftragte Ulrich Kel- 
ber geht davon aus, dass es in Deutsch- 
land bald Bußgelder in Millionenhöhe 
geben wird (Krempl, Datenschutzver- 
stöße: Lieferdienst Delivery Hero muss 
200.000 Euro zahlen, www.heise.de 
19.09.2019, Kurzlink: https://heise. 
de/-4533862). 


Hessen 


Zufallskontrollen bei 
POLAS-Abfragen 


PolizistInnen dürfen Personen- 
abfragen im Polizeisystem nicht für 
persönliche Interessen nutzen. Nach 
einschlägigen Vorfällen hat das Land 
Hessen Februar 2019 Zufallskontrollen 
eingeführt und musste Missbrauchsfäl- 
le feststellen. Bei jeder Kontrolle fragen 
die PolizistInnen ab, ob über eine be- 
treffende Person etwas vorliegt, etwa 
ein Haftbefehl. So werden täglich nach 
Behördenangaben 40.000 bis 45.000 


Personenabfragen getätigt. Darunter 
können auch verbotene Abfragen ohne 
dienstlichen Grund sein. Im Innenaus- 
schuss des Landtags erzählte Landes- 
polizeipräsident Udo Münch jüngst von 
solchen Fällen: „Wir hatten einmal ei- 
nen Event - Helene Fischer in Frankfurt. 
Da ist Helene Fischer 83 Malin der Nacht 
abgefragt worden. Es ist wohl relativ un- 
wahrscheinlich, dass Frau Fischer dort 
83 Mal kontrolliert worden ist.” 

Deswegen hat die Polizei Zufallskont- 
rollen eingeführt. Bei jedem 200. Abruf 
des polizeilichen Auskunftssystems PO- 
LAS erscheint eine Maske auf dem Bild- 
schirm, in die der Polizist den Grund für 
seine Abfrage eintragen muss. Wenn die 
Antwort nicht plausibel ist, gehen Da- 
tenschutzbeauftragte der Polizeibehör- 
den dem Fall auf den Grund. Diese Kon- 
trollen wurden nach Münchs Angaben 
zunächst nicht immer ernst genommen: 
„Wir hatten am Anfang einmal den Fall, 
dass jemand in das Feld zum Thema Sen- 
sibilisierung “Mickey Mouse‘ hineinge- 
schrieben hat.” Der betreffende Beamte 
sei dann „noch einmal auf die Ernsthaf- 
tigkeit der ganzen Maßnahmen hinge- 
wiesen worden”. Im Jahr 2018 wurden 
180 mögliche Missbrauchsfälle intern 
gemeldet. 2019 dürften es nach Ein- 
schätzung des Innenministeriums mehr 
werden, nachdem die Zufallskontrollen 
eingeführt worden waren: „Gemäß der 
bisherigen Entwicklung im laufenden 
Jahr kann, bei einem gleichbleiben- 
den Verlauf bis Jahresende, von einem 
Anstieg ausgegangen werden.” Seit Fe- 
bruar seien etwa 9.000 Datensätze an 
die Datenschutzbeauftragten überstellt 
worden. 

Die Gefahr missbräuchlicher Abfra- 
gen war durch Fälle mit rechtsextre- 
mistischem Hintergrund öffentlich ge- 
worden. So wurden für rechtsextreme 
Drohschreiben, die an die Frankfurter 
Rechtsanwältin Seda Basay-Yildiz ge- 
schickt wurden, anscheinend Informa- 
tionen über sie von einem Polizeicom- 
puter im 1. Revier in Frankfurt abgeru- 
fen (DANA 1/2019, 38 £.). Wer dahinter 
steckte, konnte bisher nicht aufgeklärt 
werden. In einem anderen Fall hatte 
ein Polizist aus Dieburg Informationen 
aus einem Polizeisystem abgefragt und 
an eine Frau aus der Neonazi-Kame- 
radschaft „Aryans” weitergegeben. Der 
Mann wurde wegen der Verletzung von 
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Dienstgeheimnissen zu einer Geldstrafe 
verurteilt. Das Innenministerium geht 
davon aus, dass er nicht aus rechtsex- 
tremer Gesinnung handelte. Oppositi- 
onsabgeordnete hatten sich verwundert 
geäußert über die hohe Zahl an Abfra- 
gen. Der Vorsitzende der Gewerkschaft 
der Polizei (GdP), Andreas Grün, nennt 
sie aber „ganz normal”. Schließlich wür- 
denjeden Tag Kontrollen vorgenommen. 
Innenminister Peter Beuth hatte 
nicht nur die Zufallsprotokollierung 
eingeführt, sondern auch einen Hin- 
weis, der automatisch auf der POLAS- 
Startseite erscheint. Dort wird darauf 
hingewiesen, dass eine Nutzung nur 
zu dienstlichen Zwecken gestattet ist. 
Gewerkschafter Grün sagte, es gebe 
„Unverständnis“ über diese Maßnah- 
men. Bei seinen KollegInnen entstehe 
der Eindruck, dass man wegen „ein paar 
schwarzen Schafen“ unter Generalver- 
dacht gestellt werde (v. Bebenburg, Po- 
lizisten missbrauchen Personenabfra- 
ge, um an Infos über Helene Fischer zu 
kommen, www.fr.de 03.08.2019). 


Mecklenburg-Vorpommern 


Widerstand gegen Entwurf 
eines Polizeigesetzes 


Gemäß Polizeiangaben haben rund 
650 Menschen am 18.08.2019 in Ros- 
tock gegen die geplante Verschärfung 
des Polizeigesetzes von Mecklenburg- 
Vorpommern protestiert und zogen unter 
anderem am Sitz der Kriminalpolizei vor- 
bei. Ein Sprecher des Veranstalterbünd- 
nisses „SOGenannte Sicherheit” ging von 
rund 1.000 Demonstrationsteilnehmen- 
den aus, die unter anderem von Linken, 
Grünen, FDP, linken Gruppen und der 
Fanszene von Hansa Rostock mobilisiert 
worden waren. Zwischenfälle gab es den 
Angaben zufolge nicht. 

Die Gegner des Polizeigesetzes be- 
fürchten ausufernde Überwachungs- 
befugnisse der Polizei und beklagen 
mangelnde Kontrollmöglichkeiten. In 
Redebeiträgen wurden Überwachungs- 
methoden wie die Onlinedurchsuchung 
und die Quellen-Telekommunikati- 
onsüberwachung kritisiert. Sie sollen 
zukünftig schon vor dem Begehen ei- 
ner Straftat eingesetzt werden dür- 
fen, wenn ein Richter zustimmt. Die 
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Maßnahmen sollen laut Gesetzentwurf 
nicht nur gegen Verdächtige, sondern 
auch gegen deren Umfeld eingesetzt 
werden dürfen. Weiter wurden fehlende 
Kontrollmöglichkeiten gegenüber der 
Polizei bemängelt. Gerade angesichts 
mehrerer Skandale in Mecklenburg-Vor- 
pommern und anderen Ländern gelte: 
Wenn es mehr Überwachung geben sol- 
le, dann bei der Polizei durch unabhän- 
gige Kontrollstellen, hieß es in einem 
Redebeitrag. In Sprechchören forderten 
die DemonstrantInnen den Rücktritt 
von Innenminister Lorenz Caffier (CDU). 
Kritisiert wird der Entwurf der Landes- 
regierung vom Landesdatenschutzbe- 
auftragten, dem Deutschen Journalis- 
tenverband und Anwaltsvereinigungen. 
Unterstützung hierfür kam von den Po- 
lizeigewerkschaften und den Kommu- 
nalverbänden (Hunderte demonstrieren 
in Rostock gegen neues Polizeigesetz, 
www.heise.de 18.08.2019, Kurzlink: 
https://heise.de/-4499954). 


Mecklenburg-Vorpommern 


Datenschutzbehörde 
bremst AfD-Schulen- 
Prangerportal 


Der Landesbeauftragte für den Daten- 
schutz in Mecklenburg-Vorpommern, 
Heinz Müller, hat das Online-Meldepor- 
tal der AfD „Neutrale Schule“ verboten. 
SchülerInnen waren dort dazu aufgeru- 
fen worden, angebliche Verstöße gegen 
das Neutralitätsgebot von Lehrkräften 
zu melden, insbesondere auch solche, 
die die AfD im Unterricht kritisieren. 
Die auf dem Portal veröffentlichten Pas- 
sagen, in denen zur Meldung aufgefor- 
dert wird, müssen laut Müller bis zum 
20.09.2019 entfernt werden. Andern- 
falls drohte er mit einem Zwangsgeld. 
Es dürfe nicht sein, dass LehrerInnen 
durch ein solches Portal in ihrer Unter- 
richtstätigkeit eingeschüchtert werden. 
Es sei selbstverständlich eine Aufgabe 
der Lehrkräfte, für die Demokratie, das 
Grundgesetz und die darin gewährleis- 
tete Menschenwürde einzutreten: „Da- 
bei sollen sie keine Angst haben, von 
selbsternannten AfD-Aufpassern behel- 
ligt zu werden.” Der Landesverband der 
AfD erhebe in dem Online-Portal nicht 
nur die personenbezogenen Daten der 


SchülerInnen, die eine Meldung ver- 
fassen. Die Partei sammele ganz gezielt 
auch die politischen Meinungen der ge- 
meldeten LehrerInnen. Diese politische 
Meinung stehe jedoch unter besonde- 
rem rechtlichen Schutz. So stehe es in 
der Datenschutz-Grundverordnung. 
Deswegen sei ein Verbot des Portals an- 
gebracht. 

AfD-Co-Landessprecher Leif-Erik 
Holm sprach von einer „parteipolitisch 
motivierten Willkürentscheidung”. Der 
SPD-Politiker Müller habe unter Aus- 
blendung der Fakten das geliefert, was 
SPD-Bildungsministerin Martin bestellt 
habe. „Es handelt sich sichtbar um ein 
abgekartetes SPD-Spielchen.” Es werde 
versucht, einen Maulkorb zu erlassen, 
um mögliche Missstände an Schulen 
vertuschen zu können: „Dagegen wer- 
den wir juristisch vorgehen.” Holm warf 
Landesdatenschützer Müller zudem vor, 
mit seiner Pressemitteilung gegen das 
Mäßigungsgebot verstoßen zu haben. 

Bis zum ausgesprochenen Verbot war 
das von Anfang an umstrittene Melde- 
portal lediglich drei Wochen online. Bil- 
dungsministerin Bettina Martin (SPD) 
hatte es als „Lehrer-Pranger” bezeich- 
net. Eshandle sich um ein ungeeignetes 
Instrument und gefährde den Frieden 
an den Schulen. SchülerInnen und EI- 
tern würden zum Denunziantentum ge- 
gen ihre LehrerInnen aufgestachelt. Die 
AfD hatte das Portal nach dem Vorbild 
aus anderen Bundesländern wie Ham- 
burg, Niedersachsen und Brandenburg 
auch für Mecklenburg-Vorpommern 
freigeschaltet (DANA 4/2018, 196 ff.). 
Innerhalb von sieben Monaten hat ein 
Lehrer-Meldeportal der AfD in Nieder- 
sachsen nur drei konkrete und bislang 
folgenlose Beschwerden erbracht. Kri- 
tikerInnen halten das Angebot für eine 
„Luftnummer“. 

Der Hamburgische Datenschutzbeauf- 
tragte Johannes Caspar wies derweil die 
Forderung des dortigen Schulsenators 
Ties Rabe (SPD) zurück, ein Verbot zu 
prüfen. Das Portal werde in Hamburg 
von der AfD-Fraktion der Bürgerschaft 
betrieben und bei parlamentarischer 
Datenverarbeitung habe er weder Kom- 
petenzen, noch gelte die DSGVO. An- 
wendbar sei die Datenschutzverordnung 
der Bürgerschaft; die Kontrolle erfolgt 
danach in eigener Verantwortung (Da- 
tenschützer verbietet Lehrer-Meldepor- 
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tal der AfD, www.ndr.de 13.09.2019; 
AfD-Meldeportal: Vorstoß der SPD 
zurückgewiesen, Kieler Nachrichten 
21.09.2019, 14). 


Nordrhein-Westfalen 


Handballverbände verzich- 
ten auf personenbezogene 
Spielangaben 


War es in den vergangenen Jahren 
noch möglich, über einen elektroni- 
schen Spielbericht unmittelbar nach 
Spielende die TorschützInnen und Auf- 
stellungen der jeweiligen Mannschaf- 
ten abzurufen, werden im Bereich des 
Westdeutschen-Handball-Verbandes 
(WHV) und des Handball-Verbandes 
Niederrhein (HVN) diese Informationen 
auf den offiziellen Seiten nun weggelas- 
sen. Begründet wird dies mit der angeb- 
lich bestehenden Gefahr, mit Geldstra- 
fen aufgrund von Verstößen gegen die 
Datenschutz-Grundverordnung belegt 
zu werden. Beim Deutschen Handball- 
bund existiert dieses Problem in den 
drei höchsten Ligen anscheinend nicht. 
Dort werden weiterhin die TorschützIn- 
nen oder gar Aktionen und Spielzüge im 
Internet live getickert (Keine Torschüt- 
zen wegen Datenschutz, rp-online.de 
16.09.2019). 


Sachsen 


TK-Verbindungsdaten von 
Anwalt ausspioniert 


Auf Veranlassung sächsischer Er- 
mittlungsbehörden wurden offenbar 
über Jahre hinweg die Handydaten ei- 
nes Strafverteidigers erfasst. Mehrere 
Staatsanwaltschaften sowie das säch- 
sische Landeskriminalamt (LKA) sam- 
melten so Telekommunikations- (TK-) 
Verbindungsdaten des Dresdner Rechts- 
anwalts Ulf Israel. Der Anwalt geriet ins 
Visier der Ermittler, als er polnische Au- 
toschieber als Mandanten vertrat. Aus 
einem Beschluss des Amtsgerichts Dres- 
den geht hervor, dass dabei auch Bewe- 
gungsprofile „in Echtzeit” erstellt wur- 
den. Weitere Akten legen den Verdacht 
nahe, dass es wiederholt Überwachun- 
gen zwischen 2013 und 2016 gab. Unter 


224 


den abgefangenen Telefonnummern, 
die Israel anrief oder die ihn anwähl- 
ten, sind Anschlüsse seiner Familie und 
die eines Kollegen, der Vorsitzender der 
Strafverteidigervereinigung Sachsen/ 
Sachsen-Anhalt ist. Anwälte sollten als 
Berufsgeheimnisträger eigentlich weit- 
gehend vor solchen Überwachungs- 
maßnahmen geschützt sein. Der Säch- 
sische Datenschutzbeauftragte prüft 
den Fall. Israel hat einen Staatsanwalt 
wegen des Verdachts der Rechtsbeu- 
gung angezeigt. Das LKA verweist auf 
die Prüfung durch die Datenschutzbe- 
hörde; man könne erst danach abschlie- 
ßend Stellung nehmen. Die Dresdner 
Staatsanwaltschaft bestätigt den Ein- 
gang einer Strafanzeige, will aber nicht 
Stellung nehmen (Anwalt im Visier, Der 
Spiegel Nr. 38, 14.09.2019, 11). 


Sachsen 


Normenkontrolle von 
Grünen und Linken gegen 
neues Polizeirecht 


Die Fraktionen der Linken und der 
Grünen haben eine sogenannte Nor- 
menkontrolle der im April 2019 be- 
schlossenen Novelle des sächsischen 
Polizeigesetzes vor dem Verfassungsge- 
richtshof des Landes beantragt. Dabei 
geht es um eine allgemeine fachliche 
Prüfung, ob die beklagten Klauseln mit 
höherrangigem Recht vereinbar sind. 
Die Antragstellenden wollen mit dem 
Schritt erreichen, dass große Teile der 
neuen Befugnisse der Ermittler für nich- 
tig erklärt werden. 

Bei der Präsentation der Antrags- 
schrift erklärte der Mannheimer Staats- 
rechtler Matthias Bäcker, mehrere 
Komplexe seien verfassungsrechtlich 
besonders problematisch. So habe der 
Gesetzgeber die Hürden für die Über- 
wachung von Einzelpersonen etwa per 
Telekommunikationsüberwachung, Ob- 
servation oder den Einsatz verdeckter 
Ermittler deutlich gesenkt. Die Polizei 
könnte künftig mit Blick auf „gefährli- 
che” Personen entscheiden, welche Mit- 
tel eingesetzt werden. Es genüge, dass 
die Polizei anhand vager Kriterien pro- 
gnostiziere, eine Person könnte einmal 
eine Straftat begehen. Das überarbeite- 
te Polizeirecht definiere „Straftaten von 


erheblicher Bedeutung” bis hinein in 
den Bagatellbereich. Bei staatsschutz- 
relevanter Motivation seien sogar Be- 
leidigungen oder Sachbeschädigungen 
erfasst. Der deutlich ausgeweitete Ins- 
trumentenkoffer dürfe auch bereits bei 
Vorbereitungshandlungen eingesetzt 
werden, also etwa gegen eine Person, 
die „möglicherweise Heizöl kaufen 
könnte, um damit einen Anschlag vor- 
zubereiten”. 

Gemäß Bäcker lässt das Polizeigesetz 
zudem Videoüberwachung überall dort 
zu, „wo erhebliche Gefahren für die öf- 
fentliche Sicherheit zu entstehen dro- 
hen“. Es sei nicht nötig nachzuweisen, 
„dass sich bestimmte Orte etwa in ihrer 
Kriminalitätsbelastung vom übrigen 
öffentlichen Raum abheben“. So wer- 
de „im Ergebnis eine flächendeckende 
Überwachung möglich”. Problema- 
tisch sei auch, dass in einem Streifen 
von 30 Kilometern Breite entlang der 
Staatsgrenzen alle Verkehrsteilnehme- 
rInnen mit „intelligenter“ Videotech- 
nik überwacht werden könnten, was 
eine automatisierte Gesichtserkennung 
einschließe. Für die „ausufernde Da- 
tenspeicherung bei der Polizei” gebe 
es kaum Grenzen. Schon wer sich „zur 
falschen Zeit am falschen Ort” etwa in 
der Nähe einer Demonstration aufhal- 
te, könnte auf Dauer in polizeilichen 
Datensammlungen landen. Langfristig 
könnte so „ein umfassender Katalog 
der Bevölkerung” entstehen. Die Kläger 
zielen zudem auf Zwangsmaßnahmen 
wie Aufenthaltsgebote, Kontaktsper- 
ren oder elektronische Fußfesseln ge- 
gen „Gefährder” ab. Falsche Prognosen 
könnten hier Bäcker zufolge „zu selbst- 
erfüllenden Prophezeiungen werden, 
aus denen es kein Entrinnen gibt”. 

Mit der Novelle können künftig auch 
Scanner für den automatisierten Ab- 
gleich von Kfz-Kennzeichen an säch- 
sischen Straßen verstärkt eingesetzt 
werden. Spezialeinheiten etwa zur 
Terrorabwehr sollen in besonderen Ein- 
satzsituationen auf Waffen mit hoher 
Reichweite und Durchschlagskraft wie 
Maschinengewehre oder Handgranaten 
zurückgreifen dürfen. Grüne und Linke 
wollen mit dem Verfahren den mit der 
Reform ihrer Ansicht nach verknüpften 
„Frontalangriff auf die Bürgerrechte” 
stoppen. Es ist vorgesehen, dass das Ge- 
setz am 01.01.2020 in Kraft tritt. Eine 
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Entscheidung des Gerichts wird erst 
Ende 2020 erwartet (Krempl, Überwa- 
chung: Linke und Grüne klagen gegen 
neues sächsisches Polizeigesetz, www. 
heise.de 12.08.2019, Kurzlink: https:// 
heise.de/-4495071). 


Sachsen 


Grünen-Wahlkampf-App 
„problematisch“ 


Die anlässlich des Landtagswahl- 
kampfes eingesetzte Wahlkampf-App 
von Bündnis 90/Die Grünen wird in 
Bezug auf den Datenschutz als bedenk- 
lich eingestuft. Eine anlässlich der 
Wahl in Sachsen im Auftrag des MDR 
durchgeführte Analyse der Hochschule 
Mittweida, die die Wahlkampf-Apps der 
Parteien untersuchte, ergab, dass ins- 
besondere die App der Grünen daten- 
schutzrechtliche Probleme birgt. Damit 
wird erfasst, ob eine Haustür geöffnet 
wurde, wie die Reaktion war sowie die 
Wahl-Wahrscheinlichkeit. Weil mit der 
App GPS-Standortdaten erfasst und 
gespeichert werden können, sind die 
erhobenen Daten einer Person zuzu- 
ordnen. Dies gilt vor allem in Gebieten 
mit wenigen Häusern und Anwohne- 
rInnen. 

Dirk Pawlaszczyk, Professor für Cyber- 
Sicherheit an der Hochschule Mittwei- 
da, kommt in seinem Testbericht zu 
dem Schluss: „Die Wahlkampf-App der 
Grünen ist in Punkto Datensicherheit 
und Datenschutz als bedenklich ein- 
zustufen.” Ohne die ausdrückliche Zu- 
stimmung der Betroffenen sei eine sol- 
che Form der Datenerhebung aus Sicht 
des Datenschutzes problematisch. Die 
Grünen bestätigten die Erhebung der 
GPS-Standortdaten. Das diene, so eine 
Sprecherin, lediglich der Dokumentati- 
on, welches Haus bereits besucht wur- 
de. Nach der Datenübertragung auf den 
Server würde die politische Einstellung 
der angetroffenen Person anonymisiert 
gespeichert. „Die Wahlkampf-App be- 
findet sich noch im Probelauf. Nach dem 
Sommer werden wir sie evaluieren.” 
Ein Personenbezug besteht jedoch laut 
Pawlaszczyk weiterhin, da die App sämt- 
liche Einträge erst lokal auf dem Handy 
speichert, bevor sie sie weitergibt. Die 
Zwischenspeicherung auf dem Handy 
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stelle ein zusätzliches Sicherheitsrisiko 
dar. Politische Ansichten sind gemäß 
der Datenschutz-Grundverordnung als 
besonders sensitiv anzusehen und ste- 
hen deshalb unter einem besonderen 
Schutz. 

Bereits in der Vergangenheit hatten 
Wahlkampf-Apps für Probleme gesorgt. 
Im Bundestagswahlkampf der CDU 
2017 ließ auch deren App einen Rück- 
schluss auf den Wohnort der Befragten 
zu. Die Berliner Datenschutzbeauftrage 
veranlasste eine Löschung aller Daten, 
bei denen eine Anonymisierung nicht 
gewährleistet werden konnte. Die CDU 
besserte daraufhin nach und erfasst 
heute nicht mehr den genauen Stand- 
ort. Daher stuft die aktuelle Analyse der 
Hochschule Mittweida die CDU-App bei 
Datenschutz und Datensicherheit als 
„gut“ ein. Ebenso lautet das Fazit für die 
Anwendung der SPD. 

Die Hochschule hat die Wahlkampf- 
Apps der CDU, SPD sowie der Grünen 
technisch ausgewertet. Die App der 
Partei Die Linke wird gemäß den vor- 
liegenden Informationen derzeit nicht 
genutzt. Diese sei laut Landesverband 
Sachsen noch nicht auf dem Stand, dass 
sie flächendeckend eingesetzt werden 
könnte. Andere Parteien besitzen keine 
derartigen Apps für den Wahlkampf. Die 
Grünen und die CDU setzten ihre App 
im Wahlkampf in Sachsen ein (Sauer, 
GPS-Daten werden gespeichert Daten- 
schützer stuft Wahlkampf-App der Grü- 
nen als „bedenklich“ ein, www.focus.de 
14.08.2019). 


Sachsen-Anhalt 


Verfassungsschutz soll 
online spionieren dürfen 


Sachsen-Anhalt will sein Verfassungs- 
schutzgesetz der technischen Entwick- 
lung anpassen und den beamteten 
Verfassungsschützern erlauben, ver- 
schlüsselte Kommunikation mitzuver- 
folgen, wenn ein Richter zustimmt. Ver- 
fassungsschutzchef Jochen Hollmann 
warb für seine Forderung: „Wir haben 
die gesetzlichen Regeln so angepasst, 
dass wir im Grunde genommen weiter 
das machen können, was wir schon im- 
mer machen durften, bevor das Internet 
kam, bevor Verschlüsselungstechniken 


kamen. Wir sind mit der Zeit - und so 
ging es ja vielen Nachrichtendiensten 
und der Polizei - immer weniger in der 
Lage gewesen, Gespräche auch inhalt- 
lich abzuhören.“ Hollmann betonte, 
die sogenannte Quellen-TKÜ sei auf den 
absoluten Ausnahmefall beschränkt, 
vielleicht ein oder zwei im Jahr. Der 
Verfassungsschutz sei dafür auch auf 
das Bundesamt für Verfassungsschutz 
angewiesen. Es gehe um jede laufende 
Kommunikation vom Telefonat bis zu 
Messenger-Diensten. 

Sachsen-Anhalts neues Gesetz sieht 
zudem vor, dass Erkenntnisse über 14- 
und 15-Jährige nicht nur gespeichert, 
sondern auch an den Verfassungs- 
schutzverbund weitergegeben werden 
können. Bislang würden Daten in je- 
weils zweistelliger Zahl gespeichert, 
sagte Hollmann. Als Beispiel nannte er 
15-Jährige, die zur Terrormiliz IS ausge- 
reist sind. Wenn beim Bund oder in an- 
deren Ländern Erkenntnisse aufliefen, 
könnten die aus Sachsen-Anhalt dazu 
gespeichert werden. Das sei wichtig für 
eine gemeinsame Sicherheitsarchitek- 
tur in Deutschland, ergänzte Innenmi- 
nister Holger Stahlknecht (CDU). 

Im Gesetzentwurf werden die nach- 
richtendienstlichen Mittel für die ver- 
deckte Informationsbeschaffung aufge- 
zählt, etwa die Observation, der Einsatz 
von Vertrauenspersonen und verdeck- 
ten Ermittlern, Bild-Aufzeichnungen, 
verdeckte Ermittlungen mit und ohne 
Technik, Tarnpapiere und Tarnkennzei- 
chen und das Aufklären des Internets. 
Alles, was nicht aufgezählt sei, gehe, 
so Verfassungsschutzchef Hollman, 
auch nicht. Neu sei auch eine stärkere 
parlamentarische Kontrolle des Verfas- 
sungsschutzes. Bei zwei Beratungen 
des Parlamentarischen Kontrollgremi- 
ums sei ein Öffentlicher Teil vorgesehen. 
Bisher ist die Öffentlichkeit komplett 
ausgeschlossen. Das Gremium hieß 
bislang Parlamentarische Kontrollkom- 
mission (PKK) und heißt künftig Parla- 
mentarisches Kontrollgremium (PKG), 
weil für die verbotene Arbeiterpartei 
Kurdistans ebenfalls die Abkürzung 
PKK genutzt wird. Das Gesetz muss vom 
Landtag beschlossen werden (Verfas- 
sungsschutzgesetz: Sachsen-Anhalt will 
Staatstrojaner einsetzen, www.heise.de 
13.08.2019; Kurzlink: https://heise. 
de/-4496108). 
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Datenschutznachrichten aus dem Ausland 


Weltweit 


Biometrische Zugangs- 
sicherungsdaten im Netz 
verfügbar 


Die südkoreanische IT-Firma Suprema 
bezeichnet sich selbst als Marktführer 
in Europa und in asiatischen Ländern 
bei biometrischen Zutrittskontroll- 
systemen. Die Firma erlebte nun ihren 
Sicherheitsgau mit ihrer Biometrieda- 
tenbank „Biostar 2”: Forschende des is- 
raelischen Online-Dienstes vpnMentor 
haben entdeckt, dass das webbasierte 
System mit hochsensiblen personen- 
bezogenen Informationen weitgehend 
ungeschützt am Internet hing. Die Ex- 
perten konnten sich nach eigenen An- 
gaben ohne große Mühen Zugang zu 
27,8 Millionen Einträgen verschaffen, 
die 23 Gigabyte an Daten ausmachten. 
Darunter waren neben unverschlüssel- 
ten Profilinformationen wie Nutzerna- 
men und Passwörtern über eine Million 
Fingerabdrücke sowie eine ungenann- 
te Zahl an Gesichtsbildern. Biostar 2 
verwendet Fingerabdrücke oder Ge- 
sichtsscans auf einer Online-Plattform 
für intelligente Türschlösser, mit der 
Unternehmen die Zugangskontrolle 
etwa für ihre Niederlassungen oder La- 
gerhallen selbst organisieren können. 
Erst zuvor hatte Suprema eine Koope- 
ration mit dem niederländischen Elek- 
trokonzern Nedap abgeschlossen, der 
IT-Ausrüstung für die Warensicherung, 
Zutrittskontrollen, RFID und Wahlcom- 
puter herstellt. Seitdem ist Biostar 2 
in das noch größere System AEOS zur 
biometrischen Zugangskontrolle integ- 
riert, das über 5.700 Organisationen in 
83 Ländern nutzen. Darunter befinden 
sich gemäß Presseberichten Konzerne 
genauso wie kleine Betriebe, Regie- 
rungseinrichtungen, Banken und die 
britische Metropolitan Police. 

Das von den Datenschutzforschern 
Noam Rotem und Ran Locar angeführte 
Team entdeckte die massive Schwach- 
stelle im Rahmen eines großen Pro- 
jekts, mit dem die Hacker mit einfachen 
Portscans quasi an den Türklinken von 
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Webservern rütteln und testen, ob sie 
aufgehen. Finden sie offene Stellen, 
suchen sie darüber nach weiteren, tie- 
fer in die Systeme führenden Angriffs- 
punkten. Bei Biostar 2 gelang es den 
Experten, die Datenbank über einen 
gängigen Web-Browser anzusprechen. 
Durch die Manipulation der Suchkrite- 
rien für die Webadresse stießen sie auf 
die brisanten großen Datenmengen. 
Neben den biometrischen Merkmalen 
fanden sie etwa Protokolle über den Zu- 
gang zu den angeschlossenen Einrich- 
tungen sowie Sicherheitsstufen und 
-freigaben nebst persönlichen Daten 
des Personals. 

In Deutschland sollen Daten von 
Identbase betroffen gewesen sein, ei- 
nem Ausrüster von Ausweis- und Zu- 
gangskontrollkarten. Böswillige Hacker 
hätten sich so einen kompletten Zu- 
gang zu Administratorkonten verschaf- 
fen und die gesamten restlichen Sicher- 
heitseinstellungen ändern, also auch 
etwa bestimmte Personen aus Räu- 
men ausschließen können. Kriminelle 
könnten in Echtzeit verfolgen, welcher 
Benutzende welche Einrichtung oder 
welches Büro betreten. Ferner wäre es 
ihnen etwa möglich gewesen, Daten- 
sätze in den Firmenkonten neu anzule- 
gen und zu manipulieren. Die gesamte 
biometrische Sicherheitsinfrastruktur 
eines Gebäudes würde so nutzlos und 
hinfällig. 

Die Sicherheitsexperten warnen, dass 
die Lücke Erpressungen sowie massiven 
Identitätsdiebstahl und darauf basie- 
renden Betrug wie Phising erleichtern 
könnte. Sollten Fingerabdrücke ge- 
stohlen worden sein, könnten diese für 
vielfältige Zwecke missbraucht werden. 
Dies wiege besonders schwer, da bio- 
metrische Merkmale im Gegensatz etwa 
zu Passwörtern nicht mehr verändert 
werden und damit auf Dauer kompro- 
mittiert seien. Ob sich andere Hacker 
bereits unbemerkt Zugang zu dem Da- 
tenfundus verschafft haben, ist unklar. 
Rotem und sein Team haben Biostar 
am 07.08.2019 auf die Schwachstellen 
hingewiesen, wobei sie Angestellte in 
Deutschland zunächst zurückgewiesen 
hätten. Erst nach der Ansprache einer 


französischen Zweigstelle sei die Lücke 
am 13.08.2019 geschlossen worden. 

Entsetzt zeigten sich die Forschen- 
den, dass Suprema die vollständigen 
biometrischen Daten in dem System 
abspeicherte. Dem Stand der Technik 
hätte es entsprochen, nur Hashwerte 
etwa von Fingerabdrücken aufzube- 
wahren, die nicht einfach kopiert und 
frei verwendet werden könnten. Über- 
rascht waren sie zudem, dass auch viele 
Kunden der Koreaner für ihre Konten 
nur Standardkennungen wie „Pass- 
wort” oder „abcd1234” verwendeten. 
Supremas Marketingchef Andy Ahn er- 
klärte, dass sein Unternehmen die von 
vpnMentor gelieferten Informationen 
eingehend prüfe. Sollte eine andau- 
ernde Bedrohung bestehen, werde es 
umgehend handeln und die KundInnen 
informieren (Krempl, Biometrieda- 
tenbank mit 27,8 Millionen Einträgen 
ungesichert im Netz, www.heise.de 
14.08.2019, Kurzlink: https://heise. 
de/-4496575). 


Italien 
Datenhack bei Unicredit 


Unbekannte Kriminelle haben rund 
drei Millionen Namen, Mailadressen 
und Telefonnummern von KundInnen 
der italienischen Bank Unicredit er- 
beutet. Betroffen sei eine Datei, die 
im Jahr 2015 erstellt worden sei und 
ausschließlich italienische Datensätze 
beinhalte. Dies teilte das Unternehmen 
am 28.10.2019 in Mailand mit. Die Kom- 
bination solcher Daten ermöglicht es 
Online-Kriminellen, KundInnen so ge- 
nannte Phishing-E-Mails zu schicken, 
mit denen sie ihnen über präparier- 
te Links zum Beispiel Passwörter ab- 
schwindeln können. Unicredit betonte, 
viel zu tun, um solche Hacks zu verhin- 
dern. In den Bereich der IT-Sicherheit 
seien seit 2016 insgesamt 2,4 Milliarden 
Euro investiert worden. Hierzu gehöre 
auch eine neue Nutzeridentifikation, 
die 2019 an den Start ging. Sie soll den 
Zugriff via Internet und Smartphone- 
App sicherer machen (Unicredit: Daten 
erbeutet, SZ 29.10.2019, 26). 
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Italien 


Salvini ließ Sinti/Roma 
erfassen 


Der rechtsradikale frühere italieni- 
sche Innenminister Matteo Salvini ließ, 
kurz bevor er wegen einer Regierungs- 
umbildung seinen Posten verlor, „La- 
ger” der Minderheit der Sinti und Roma 
erfassen. Sein Ministerium forderte im 
Juli 2019 die italienischen Präfekten 
auf, innerhalb von zwei Wochen Berich- 
te über Roma, Sinti und andere „fahren- 
de Leute” vorzulegen. Die Maßnahme 
galt als Vorbereitung für großangelegte 
Abschiebungen. Salvini, der den Plan 
schon 2018 angekündigt hatte, sorgte 
damit nicht nur bei Menschenrecht- 
lerInnen für Empörung. Der Vizeprä- 
sident des Internationalen Auschwitz 
Komitees, Christoph Heubner, reagierte 
hierauf wie folgt: „Mit seinen erneuten 
Drohungen gegen Sinti und Roma stößt 
Salvini die Türen des Hasses in Italien 
weit auf und setzt erneut die Schwächs- 
ten der Schwachen in Europa dem Hass 
der Straße aus, den er selber bei seinen 
Anhängern immer wieder hervorkit- 
zelt. Alle diese Strategien des Hasses 
sind Europas unwürdig”. Die Erfassung 
von Minderheiten hat eine lange und 
menschenverachtende Geschichte, gilt 
sie doch als erster Schritt für weitere 
Diskriminierungen, Maßnahmen und 
in manchen Fällen sogar Vernichtung. 
In Deutschland gipfelte die Erfassung 
im Porajmos, dem Genozid an Sinti und 
Roma (Reuter, Erfassung der Roma in 
Italien: „Salvini stößt Türen des Hasses 
weit auf“, netzpolitik.org, 18.07.2019). 


Schweiz 


DNA-Profiling bei Klima- 
AktivistInnen 


Mitte Juli 2019 demonstrierten Klima- 
AktivistInnen vor den Großbanken UBS 
und Credit Suisse. Sie verbarrikadierten 
in Basel und Zürich die Eingänge zu den 
Banken. Rund 83 Personen wurden ver- 
haftet, 48 Stunden lang eingesperrt und 
sie müssen zusätzlich hohe Bußen be- 
zahlen. Die Polizei nahm Speichelproben 
und erstellt nun DNA-Profile. Die Spei- 
chelproben wurden gegen ihren Willen 
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entnommen. Unter den Festgenomme- 
nen befanden sich auch Minderjährige. 
Gemäß dem schweizerischen Recht 
müssen DNA-Proben nach spätestens 90 
Tagen wieder aus dem System gelöscht 
werden. DNA-Profile zu erstellen ist eine 
noch heiklere Angelegenheit. Die Basler 
und die Zürcher Staatsanwaltschaften 
haben in diesem Fall spezielle Verfügun- 
gen ausgestellt. Reto Müller, Lehrbeauf- 
tragter für Sicherheits- und Polizeirecht 
an der Universität Basel, kommentierte: 
„DNA-Proben greifen in das Grundrecht 
der informationellen Selbstbestimmung 
ein. Bei gewaltfreien politischen De- 
monstrationen sind solche nicht ver- 
hältnismäßig“. Die Staatsanwaltschaf- 
ten bestätigten die Maßnahme, gaben 
aber hierzu keine Erklärung ab. Es wird 
vermutet, dass die DNA-Profile genutzt 
werden sollen, um vergangene und zu- 
künftige Vergehen aufklären zu können. 
Die Organisation Kollektiv Climate Jus- 
tice erklärte: „Mit den DNA-Entnahmen 
machen sich Polizei und Staatsanwalt- 
schaft zu Handlangern der Banken.” 
Die Klima-AktivistInnen kündeten den 
Gang vor die Gerichte an. Sie würden, 
falls es notwendig sein sollte, das Ver- 
fahren bis vor den europäischen Ge- 
richtshof für Menschenrechte bringen 
(Polizei erstellt DNA-Profile von Klima- 
Aktivisten, telebasel.ch 21.07.2019). 


Europaweit 


Datenschützerin warnt vor 
„Facebook Dating” 


Facebook hat für 2020 in Europa als 
neuen Dienst „Dating“ angekündigt, 
ein Dienst, der in den USA schon nutz- 
bar ist. Dabei handelt es sich um eine 
datengetriebene Partnervermittlung. 
Als Daumenregel gilt dabei, dass Per- 
sonen gut zueinander passen, wenn 
sie gemeinsame Interessen haben und 
psychologisch auf einer Wellenlänge zu 
sein scheinen. Viele Facebook-Nutzende 
geben dem Unternehmen ihre Inter- 
essen preis, außerdem führt es detail- 
lierte Analysen durch, um passgenaue 
Werbung zu ermöglichen. Im Grunde ist 
es egal, ob Produkte an die passenden 
Kunden vermittelt oder Partner zusam- 
mengebracht werden sollen: Hilfreich 
für beides sind psychologische Profile. 


Marit Hansen, die Landesbeauftrag- 
te für Datenschutz Schleswig-Holstein 
und Leiterin des Unabhängigen Landes- 
zentrum für Datenschutz (ULD), warnte 
vor dem angekündigten Dienst: „Für 
Facebook ist die Analyse von psycho- 
logischen Eigenschaften und anderen 
sensiblen Informationen kein Neuland: 
2017 wurde bekannt, dass ein australi- 
scher Forscher bei Facebook Algorith- 
men entwickelte, um festzustellen, ob 
sich die jugendlichen Nutzerinnen und 
Nutzer ängstlich, nervös, gestresst, 
dumm, unsicher, wertlos oder als Ver- 
sager fühlten. Vor einem Jahr lieferte 
Facebook gezielt ‚Gay-Cure‘-Werbung an 
homosexuelle junge Leute aus - solche 
Werbung erklärt, wie sie vermeintlich 
von ihrer sexuellen Präferenz ‚geheilt‘ 
werden können, und vermittelt den 
Eindruck, es sei mit einem etwas nicht 
in Ordnung. Erst nach einem Hinweis 
der Medien wurden diese manipulativen 
Werbungen gestoppt. Außerdem ver- 
wendet Facebook laut Medienberichten 
in einigen Ländern Verfahren der Künst- 
lichen Intelligenz, um Gemütszustände 
anhand von Postings oder Fotos - bis 
hin zu Depressionen oder Suizidgefahr 
- zu erkennen.” 

Bei Facebook Dating würden die in- 
teressierten Nutzenden ausgefragt, um 
auf dieser Basis passende PartnerInnen 
zu vermitteln. In einer „Secret-Crush”- 
Liste kann man eintragen, für welche 
der Freunde man heimlich schwärmt. 
In den Nutzerfragen geht es z. B. um 
Angaben zu dem, was man leidenschaft- 
lich gern tut, wofür man dankbar ist, 
welches Ziel man noch nicht erreicht 
hat oder was man gar nicht kann. Han- 
sen dazu: „Das sind schon etwas tiefer- 
gehende Persönlichkeitsfragen, die es 
ermöglichen, eine Person mit ihren Fa- 
cetten näher kennenzulernen - ebenso 
für interessierte Vermittlungskandida- 
ten wie für Facebook selbst. Werden die- 
se Informationen künftig die Basis für 
zielgerichtete Werbung sein? Es wäre 
leicht möglich, die selbst offenbarten 
oder vom Algorithmus entdeckten Un- 
sicherheiten und Schwächen von Per- 
sonen auszunutzen - dann wäre einer 
Manipulation der Menschen Tür und Tor 
geöffnet.” 

Der Dating-Dienst kann dazu führen, 
dass die Nutzenden Facebook weite- 
re Daten zur Verfügung stellen, z. B. 
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Standortdaten, die für das Verkuppeln 
ausgewertet werden können, oder In- 
halte des eigenen Instagram-Nutzer- 
kontos, die sich dort integrieren lassen. 
Hansen: „Facebook hat schon jetzt eine 
Riesenmenge an Informationen über 
die Nutzer - einschließlich Interessen 
und psychologischer Einschätzungen. 
Mit der Dating-Funktion werden esnoch 
deutlich mehr werden. Die Skandale der 
letzten Monate und Jahre um Facebook 
haben aber deutlich gezeigt, dass die 
Plattform immer wieder große Sicher- 
heits- und Datenschutzmängel hat. 
Erst vor wenigen Tagen wurde die Ent- 
deckung eines Datenbestands mit 419 
Millionen Einträgen zu Facebook-Nut- 
zer-IDs und Telefonnummern bekannt, 
der frei im Internet verfügbar war. Wenn 
Nutzerdaten bei Facebook nicht sicher 
sind, fehlt mir das Vertrauen, dass das 
Unternehmen die sensiblen Dating-In- 
formationen gut genug schützen wird. 
Sonst tauchen bald die ersten Daten- 
bestände mit ‚Secret-Crush’-Listen oder 
psychologischen Profilen zu Facebook- 
Mitgliedern im Internet auf. Mein Rat: 
Daten zur Partnersuche nur daten- 
schutzkonformen und vertrauenswürdi- 
gen Diensten ohne Sicherheitsprobleme 
anvertrauen - Finger weg vom Face- 
book-Dating und anderen Anbietern 
ohne ausreichenden Schutz“ (ULD PM, 
Facebook-Dating - aus Datenschutz- 
sicht ein klarer Abtörner, 07.09.2019). 


Griechenland 


PwC erhält sechsstellige 
Strafe für DSGVO-Verstoß 


Die griechische Niederlassung des 
renommierten Wirtschaftsprüfungs- 
und Steuerberatungsunternehmens 
PricewaterhouseCoopers (PwC) erhielt 
nach einer Beschwerde von der dorti- 
gen Datenschutzbehörde wegen eines 
Verstoßes gegen die Rechtmäßigkeit 
der Datenverarbeitung ein Bußgeld in 
Höhe von 150.000 €, da von den Mit- 
arbeitenden für die Verarbeitung ihrer 
Personaldaten Einwilligungen eingeholt 
wurden. Die griechische Behörde werte- 
te dies als Verstoß gegen die Grundsätze 
der Datenverarbeitung, da den Mitar- 
beitenden so das Gefühl vermittelt wur- 
de, dass sie in die Datenverarbeitung 
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einwilligen müssten, was jedoch nicht 
der Fall ist. Beschäftigtendaten werden 
überwiegend auf Grundlage rechtlicher 
Pflichten sowie des Arbeitsvertrags 
verarbeitet. In Sonderfällen greife das 
berechtigte Interesse des Arbeitgebers. 
Die Einwilligung wird im Arbeitsverhält- 
nis stets als kritisch eingestuft, da auf- 
grund des hierarchischen Verhältnisses 
zwischen Arbeitgeber und Arbeitneh- 
mer selten von echter Freiwilligkeit aus- 
gegangen werden kann. Die griechische 
Datenschutzbehörde betrachtete den 
Umstand, dass PwC für diese Datenver- 
arbeitung Einwilligungserklärungen 
unterschreiben ließ, als Verstoß gegen 
die Rechtmäßigkeit der Datenverar- 
beitung und trug dem Unternehmen 
auf, die korrekten Rechtsgrundlagen 
zu wählen und dies den Beschäftig- 
ten auch mitzuteilen (DSG-Service 
2019, www.secur-data.at/fileadmin/ 
Downloads/DSGI2019-92.pdf, S. 4). 


Schweden 


Bußgeld gegen Schule 
wegen automatischer 
Gesichtserkennung 


Mit einem Bußgeld von umgerechnet 
rund 18.000 € (200.000 SEK) endete in 
einer schwedischen Schule in Skellefteä 
ein Pilotprojekt, in dem diese die Anwe- 
senheit von SchülerInnen mittels Ge- 
sichtserkennung kontrollierte. Statt ei- 
nes üblichen Anwesenheitsbuches wur- 
den 22 SchülerInnen über den Zeitraum 
von 3 Wochen mittels Gesichtserken- 
nung im Unterricht überwacht. Hierfür 
holte die Schule die Einwilligung der Be- 
troffenen ein. Die schwedische Daten- 
schutzbehörde entschied aber, dass dies 
unzulässig sei und zog die Wirksamkeit 
der Einwilligungen in Zweifel, da diese 
in einem hierarchischen Verhältnis sel- 
ten haltbar sei. Verarbeitet wurden bio- 
metrische Daten, weshalb nach Art. 9 
DSGVO eine ausdrückliche Einwilli- 
gung eingeholt werden musste. Unter 
Berücksichtigung des Abhängigkeits- 
verhältnisses und der Tatsache, dass 
für die Überprüfung der Anwesenheit 
auch andere, geringere Mittel als die 
biometrische Erfassung der Gesichter 
angewendet können, waren gemäß der 
Aufsichtsbehörde sowohl die Datenan- 


wendung als auch die Einwilligung die 
falsche Wahl. Anders als in Deutschland 
ist es in Schweden möglich, Bußgelder 
gegen öffentliche Stellen zu verhängen 
(DSG-Service 2019, www.secur-data.at/ 
fileadmin/Downloads/DSGI2019-92. 
pdf, S.4f.). 


USA 


Konzerne fordern nationa- 
les Datenschutzrecht 


51 große US-Konzerne fordern ein 
einheitliches Verbraucher-Datenschutz- 
gesetz für die gesamten USA. Bisher 
gibt es dasin dem Land mit dem COPPA 
(Children’s Online Privacy Protection 
Act) nur für Personen jünger als 13. Seit 
den Wahlen 2018 ist eine neue Politik- 
Generation tätig, die in mehreren US- 
Staaten Datenschutzgesetze auf den Weg 
gebracht hat. Marc Rotenberg vom Elec- 
tronic Privacy Information Center (EPIC) 
hofft nun, dass die neue Machtverteilung 
zwischen Republikanern und Demokra- 
ten zur Kontrolle des Datenhungers von 
Geheimdiensten und Privatfirmen führt. 
Die Konzerne wollen sich nicht mit über 
50 verschiedenen Gesetzen und Behör- 
den herumschlagen und fordern deshalb 
ein Bundesgesetz ohne Anspruch auf ge- 
richtliche Durchsetzung. 

In dem am 10.09.2019 veröffentlich- 
ten Briefvon 51 Konzernchefs an die Re- 
präsentantInnen und SenatorInnen des 
US Kongresses sorgen sich die Verfasser 
um das Vertrauen ihrer KundInnen und 
drängen den Gesetzgeber zur Eile: „Wir 
können und sollen von Verbrauchern 
nicht erwarten, dass sie die Regeln ver- 
stehen, die sich abhängig davon ändern 
können, in welchem Staat sie wohnen, 
in welchem Staat sie ins Internet gehen 
und in welchem Staat der (Unternehmer) 
sitzt”. Die Zersplitterung in Staaten-Ge- 
setze bedrohe die „Innovation und glo- 
bale Wettbewerbsfähigkeit” der USA. Zu 
den Unterzeichnern des Schreibens zäh- 
len neben Netzbetreibern, Geldinstituten 
und Kfz-Herstellern auch Unternehmen 
wie Amazon, Dell, Harman, IBM, Motoro- 
la Solutions, Qualcomm, Salesforce und 
SAP. Sie stecken auch gleich einen Rah- 
men ab, den sie „Framework for Consu- 
mer Privacy Legislation” nennen, in dem 
die Interessen der Konzerne zum Aus- 
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druck kommen: Die USA sollen als Vorrei- 
ter für Datenschutz dargestellt werden, 
um das Vertrauen der VerbraucherInnen 
zurückzugewinnen. Einheitliche Regeln 
innerhalb der USA über alle Branchen 
hinweg sollen die Kosten senken, für 
kleine Unternehmen soll es Ausnahmen 
geben. Staaten und Kommunen sollen 
keine Datenschutzregeln mehr erlassen 
können. Gefordert wird auch, dass Daten 
friktionsfrei über internationale Grenzen 
fließen dürfen. 

In der allerletzten Zeile des Dokuments 
wird ihm der Zahn gezogen: Betroffene 
sollen ausdrücklich kein Recht haben, 
bei Datenschutzverletzungen zu Gericht 
zu gehen und z. B. Schadenersatz zu 
erstreiten. Für die Durchsetzung des ge- 
wünschten Verbraucher-Datenschutzge- 
setzes soll vielmehr die Handelsbehörde 
Federal Trade Commission (FTC) zustän- 
dig sein. Zudem dürften die Justizmi- 
nister der einzelnen US-Staaten klagen, 
jeweils für EinwohnerInnen ihres Staa- 
tes. Die FTC ist ein politisch besetztes 
Gremium, das sich auf symbolträchtige 
Verfahren mit hohen Strafen gegen ein- 
zelne Unternehmen spezialisiert hat. Das 
sorgt für Schlagzeilen, hat aber wenig 
mit breiter Rechtsdurchsetzung zu tun. 
Betroffene haben keinen Anspruch auf 
ein FTC-Verfahren. Sie können behördli- 
ches Eingreifen lediglich anregen, was in 
den seltensten Fällen Erfolg hat. 

Die geringe Datenschutz-Wirkung der 
FTC zeigt sich am COPPA. Dieses Gesetz 
ist rund 20 Jahre alt, wird aber weitge- 
hend ignoriert. 2018 stellte eine Unter- 
suchung fest, dassin Googles Play Store 
drei Viertel aller Kinder-Apps gegen 
COPPA verstoßen. Soweit bekannt, hat 
die FTC seither gerade einmal vier Un- 
ternehmen belangt: Musical.ly (TikTok) 
musste 5,7 Mio. US-Dollar Strafe zah- 
len (DANA 3/2019, 165), YouTube 170 
Millionen. Eine Webseite ist mit 35.000 
Dollar davongekommen, eine weitere 
mit dem Versprechen, sich zu bessern. 
Zudem wurden drei Dating-Apps aus 
dem Play Store entfernt. Auch die Hoff- 
nung auf Klagen der Justizminister der 
einzelnen Staaten sind trügerisch, da 
diese Ämter politisch besetzt werden, 
meistens durch direkte Wahl. Betrof- 
fene können ihren Justizminister auch 
nicht dazu zwingen, gegen Rechtsbre- 
cher vorzugehen oder einen schlechten 
Vergleich verhindern. 
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Die Konzerne schlagen vor, dass Ver- 
braucherInnen Anspruch auf „angemes- 
senen” (reasonable) Zugang zu verständ- 
lichen Angaben über den Datengebrauch 
ihrer Vertragspartner erhalten. Außerdem 
sollen sie „angemessen“ Kontrolle über 
Sammlung und Nutzung ihrer Daten aus- 
üben können. Hinzukommen soll die Ge- 
legenheit, über den Verkauf ihrer Daten 
an Dritte „auszuwählen“. Für kostenlose 
Datenweitergabe wird das nicht gefordert. 
Unternehmen sollen jene Dritten, denen 
sie Verbraucherdaten zukommen lassen, 
vertraglich dazu verpflichten, Daten- 
schutz-Entscheidungen der Verbrauche- 
ıInnen zu respektieren. Verantwortung 
für die Einhaltung dieser Verpflichtung 
soll aber ausschließlich beim Dritten lie- 
gen, nicht bei der Datenquelle. Und die 
Dritten sollen ausdrücklich nicht ver- 
pflichtet werden, Auskunft über Daten- 
sammlung und -verwendung zu geben. 

Zudem erwähnt der Vorschlag ein 
Recht auf Datenlöschung. Es ist mit um- 
fangreichen Ausnahmen konzipiert. Bei- 
spielsweise soll es keinen Löschanspruch 
geben, solange die Daten noch für „legiti- 
me Geschäftszwecke“, freie Meinungsäu- 
ßerung oder „Information“ benötigt wer- 
den. Und wenn die Löschung aufgrund 
der Art und Weise der Speicherung auf- 
wändig wäre, soll es hinreichen, die Da- 
ten „außerhalb praktischer Anwendung” 
zu stellen. Jeder Datenverarbeiter soll 
selbst entscheiden, was angemessen ist, 
abhängig von der Art der gespeicherten 
Information und dem empfundenen Ri- 
siko. Von Datenschutz für Beschäftigte, 
Einzelunternehmer oder Auszubildende 
istin dem Framework keine Rede. Gegen- 
über Behörden soll das Gesetz explizit 
nicht gelten. Es wird ausschließlich für 
die Beziehung zwischen Unternehmen 
und Verbrauchern in ihrer Eigenschaft 
als solche gewünscht (Sokolov, US-Kon- 
zerne fordern Datenschutzgesetz - aber 
bitte zahnlos, wwwr.heise.de 11.09.2019, 
Kurzlink: https://heise.de/-4519541). 


USA 


Facebook prüft und sperrt 
Apps 
Facebook hat gemäß eigenen Unter- 


nehmensangaben im Zuge der Unter- 
suchungen zum Skandal um die Da- 


tenanalysefirma Cambridge Analytica 
rund 69.000 Apps auf seiner Plattform 
blockiert. Gemäß Unterlagen aus einem 
Gerichtsverfahren in Boston erfolgte 
dies bei den meisten Apps vorsorglich, 
ohne klären zu können, ob sie tatsäch- 
lich Nutzerdaten missbraucht haben. 
Insgesamt sind Apps von rund 400 Ent- 
wicklern betroffen. 

Ein Großteil der Apps wurde demnach 
blockiert, weil ihre Entwickler bei der 
Untersuchung des Online-Netzwerks 
nicht kooperieren wollten und auf per E- 
Mail versandte Fragen nicht reagierten. 
Bei ca. 10.000 Apps prüft Facebook, ob 
Regeln zum Umgang mit Daten der Nut- 
zerInnen verletzt wurden. Sie zeigten 
„Charakteristika, die mit höherem Risi- 
ko von Datenmissbrauch einhergehen”. 
6.000 Anwendungen gerieten in den 
Fokus, weil sie von vielen Nutzenden 
installiert wurden. Bei 2.000 habe Fa- 
cebook vertieft die Entwickler überprüft 
und bei weiteren 2.000 schaute sich das 
Online-Netzwerk an, ob sie zu viele Nut- 
zerinformationen abgefragt hätten. 

Die Zahlen wurden im Zuge einer Un- 
tersuchung Facebooks durch die Staats- 
anwaltschaft des US-Bundesstaats 
Massachusetts bekannt. Ein Gericht 
lehnte den Antrag von Facebook ab, sie 
unter Verschluss zu halten. Die Staats- 
anwälte wollten auch gern wissen, wer 
die betroffenen App-Entwickler sind; 
Facebook hält die Informationen, so 
Presseangaben, aber zurück. Der Staats- 
anwaltschaft in Boston zufolge hatte 
Facebook bereits 2014 Entwicklern ge- 
stattet, mindestens 9 Mio. Apps in das 
Netzwerk zu integrieren. Jahrelang 
sei erlaubt worden, Nutzungsdaten zu 
sammeln, darunter Fotos, Beschäfti- 
gungsverhältnisse, Geburtsdaten und 
Likes. Dies betraf nicht nur Personen, 
die die Apps installiert hatten, sondern 
auch deren Facebook-Freunde. Aus den 
Gerichtsunterlagen geht hervor, dass 
Facebook rund 2 Mio. Apps identifiziert 
hat, die wegen möglichen Missbrauchs 
von Nutzungsdaten genauer untersucht 
werden sollten. Facebook hat nach ei- 
genen Angaben bislang Millionen von 
Apps kontrolliert. 

Der Fall Cambridge Analytica brachte 
Facebook im Frühjahr 2018 massiv unter 
Druck. Daten von Facebook-Nutzenden 
waren vom Entwickler einer Umfrage- 
App vor über fünf Jahren widerrechtlich 
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an Cambridge Analytica weitergegeben 
worden. Mit den Informationen wurde 
versucht, die US-Präsidentschaftswah- 
len 2016 zu beeinflussen, die Donald 
Trump gewann. Facebook wusste min- 
destens seit 2016 von dem Fall, be- 
gnügte sich aber mit der Zusicherung, 
dass die Daten vernichtet worden seien 
und informierte die NutzerInnen nicht. 
Facebook-Chef Mark Zuckerberg muss- 
te deshalb vor dem Kongress aussagen. 
Die Untersuchung des Falls durch die 
US-Aufsichtsbehörde FTC führte zu ei- 
ner Strafe von 5 Mrd. Dollar für Face- 
book (vgl. DANA 3/2019, 164 f.; Face- 
book sperrte Zehntausende Apps, www. 
spiegel.de 21.09.2019). 


USA 


Ring macht Video-Sicher- 
heits-Deal mit Polizei 


Die Amazon-Tochter Ring vertreibt in 
den USA eine vernetzte Türklingel mit 
Überwachungskamera, Bewegungsmel- 
der, Mikrophon und Lautsprecher. Zur 
Vermarktung bedient sich der Konzern 
mindestens 200 Polizeibehörden quer 
durchs Land, wie aus bisher geheimen 
Unterlagen bekannt wurde. Diese sol- 
len ihren BürgerInnen Ring-Produkte 
und die passende App „Neighbors” 
empfehlen. Bei Erfolg winken ihnen 
Überwachungsvideos sowie Guthaben 
zum Kauf weiterer Ring-Kameras. Das 
Unternehmen verpflichtete Polizeibe- 
hörden zur Geheimhaltung. Laut einer 
von Ring und der Polizei Lakeland un- 
terzeichneten Absichtserklärung sollte 
die Firma ein Startpaket von 15 Kameras 
kostenfrei liefern. Im Gegenzug müss- 
ten PolizeibeamtInnen fünf Funktionen 
wahrnehmen: Ring wünschte sich einen 
Ansprechpartner für das Projekt, einen 
Pressesprecher, einen Verantwortlichen 
für Soziale Netzwerke, einen Beamten 
zur Koordinierung der mit Ring-Videos 
unterstützten Untersuchungen sowie 
einen Verantwortlichen für die Bezie- 
hungen zur lokalen Bevölkerung. Ring 
erklärte, dass PolizistInnen für diese 
Positionen zur Verfügung zu stellen 
keine Teilnahmevoraussetzung sei, wo- 
gegen in einer gefundenen E-Mail ein 
Ring-Mitarbeiter die Bestellung der 
Funktionäre allerdings als „benötigt“ 
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bezeichnete. Für jede im Zuständig- 
keitsbereich der Polizeibehörde herun- 
tergeladene Neighbors-App sollte die 
Polizei zehn US-Dollar Gutschrift erhal- 
ten, die ausschließlich zum Kauf weite- 
rer Ring-Kameras hätten genutzt wer- 
den können. Je nach Modell kosten die 
vernetzten Türkameras bei Amazon.com 
aktuell hundert bis zweihundertfünfzig 
US-Dollar plus Steuern. 

Neighbors ist für Ring-Kameras konzi- 
piert, funktioniert aber auch mit vielen 
Smartphones. Die App erlaubt es, Über- 
wachungsvideos zu veröffentlichen, so 
dass kooperierende Polizeibehörden 
undin der Nähe wohnende BürgerInnen 
die Aufnahmen sehen können. Bürge- 
rInnen und Polizei können zudem über 
Neighbors lokale Sicherheitswarnun- 
gen verbreiten. Die Namen und exakten 
Adressen der Teilnehmenden bleiben 
laut Ring verschleiert. Zur Unterstüt- 
zung polizeilicher Untersuchungen 
können Polizeibehörden, die mit Ring 
zusammenarbeiten, die BürgerInnen 
um Freischaltung von Videoaufnahmen 
ersuchen. Bei freiwilliger Herausgabe 
können die Ermittler die rechtlichen 
Schranken für behördlichen Zugriff 
umgehen. US-Recht verlangt ansons- 
ten eine richterliche Genehmigung, die 
nur bei konkretem Verdacht ausgestellt 
werden darf. Lakelands Polizei hat sich 
schließlich gegen die Kooperation mit 
Ring entschieden, nicht aus Daten- 
schutzbedenken, sondern weil sie nicht 
eine bestimmte Marke bewerben will. 
Doch machen, wie berichtet wird, min- 
destens 200 US-Polizeibehörden mit, so 
die Mitschrift eines Lakeland-Polizisten 
aus einem nicht-Öffentlichen Webinar 
(Sokolov, Private Überwachungska- 
meras: Amazon wollte Vertrieb über 
Polizei geheim halten, wwrw.heise.de 
31.07.2019, Kurzlink: https://heise. 
de/-4483967). 


USA 


Bald DNA-Identifizierung 
von Migranten? 


Die US-Regierung will DNA-Proben 
von MigrantInnen nehmen lassen, die 
bei der illegalen Einreise festgenommen 
oder in Internierungslagern festgehal- 
ten werden. Die genetischen Informa- 


tionen sollen in einer Straftäterdaten- 
bank mitgespeichert werden. Wann die 
neuen Regeln in Kraft treten sollen, und 
ob sie auch Kinder betreffen würden, 
die allein die Grenze überqueren, war 
zunächst nicht bekannt. US-Bürger- 
rechtlerInnen sehen in den Regierungs- 
plänen einen Schritt zur Kriminalisie- 
rung von MigrantInnen. Schätzungen 
zufolge könnten die DNA-Tests länger- 
fristig Hunderttausende Menschen be- 
treffen (DNA-Proben von Migranten, SZ 
04.10.2019, 8). 


USA 


Google trainiert Pixel 4 mit 
repräsentativen Gesichts- 
bildern 


Google bezahlte Passanten 5 US-$, 
um ihre Gesichter scannen zu dürfen. 
Das soll die Gesichtserkennung von Pi- 
xel 4 verbessern - die Algorithmen sind 
sonst nicht ausgewogen. Das Geld gab 
es nicht bar auf die Hand, sondern in 
Form eines Geschenkgutscheins. Mit 
den bezahlten Scans trainierte Google 
die Gesichtserkennung seines kom- 
menden Pixel-4-Smartphones. Sie ist 
vergleichbar mit „Face ID” von Apple, 
soll laut Google aber flexibler arbeiten. 
Die „Feldforschung” in US-Städten soll 
sicherstellen, dass das Pixel 4 mitvielen 
unterschiedlichen Gesichtern zurecht- 
kommt. Biometrische Erkennungssys- 
teme hatten in der Vergangenheit im- 
mer wieder Schwierigkeiten, Gesichter 
richtig zu erkennen. Der Grund: Die 
Algorithmen sind voreingenommen, 
was Hautfarbe, Geschlecht und Rasse 
angeht. Amazons Gesichtserkennung 
Rekognition etwa hat gemäß einer MIT 
Media Lab-Untersuchung Probleme, 
weibliche und dunkelhäutige Gesichter 
zuverlässig zu identifizieren. Eine vo- 
rangegangene Studie zeigte auf, dass 
Algorithmen am besten weiße männ- 
liche Gesichter erkennen. Bei dunkel- 
häutigen Frauen versagte hingegen 
die Gesichtserkennung. Schuld daran 
ist eine einseitige Lernbasis. Auch die 
Web-App „AI Portraits Ars”, die Selfies 
in Gemälde verwandelte, ignorierte 
dabei die Hautfarbe der abgelichteten 
Personen. Aus dunkler Haut wurden 
in den KI-Gemälden helle, zudem ver- 
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schwanden asiatische Gesichtszüge. 
Die KI wurde zuvor mit 45.000 histo- 
rischen Porträts aus verschiedenen 
Epochen trainiert - und die zeigen vor- 
nehmlich weiße Gesichter. Auch das 
Lächeln verschwand deshalb aus vielen 
Selfies, denn damals gab es auf Porträts 
nichts zu lachen. 

Entsprechende Probleme mit einer 
voreingenommenen Gesichtserkennung 
will Google bei seinem neuen Pixel- 
Smartphone unbedingt vermeiden. Mit 
„Face ID” von Apple besteht starke Kon- 
kurrenz. Ziel sei es, so Google, die Ge- 
sichtserkennung „mit robuster Sicher- 
heit und Leistung zu entwickeln. Dabei 
haben wir auch immer die Inklusion im 
Hinterkopf, damit so viele Menschen 
wie möglich davon profitieren können.” 
Google will deshalb seinen Algorithmus 
mit möglichst vielen und vielfältigen 
Gesichtern trainieren. Apple stellte 
2017 für „Face ID” eine „repräsentative 
Gruppe” an Menschen zusammen, die 
unterschiedliche Geschlechter, Ethni- 
en und Altersgruppen berücksichtigte. 
Bei den experimentellen Scans erfasste 
Google Infrarot-, Farb- sowie Tiefen- 
daten von jedem Gesicht. Zusätzlich 
werden Zeit, Lichtkonditionen und 
weitere Zusatzinformationen gespei- 
chert. Ursprünglich hatte Google auch 
Standortdaten erfasst; diese würden, 
so Google, aber nicht benötigt und des- 
halb gelöscht. Jede TeilnehmerIn wurde 
einer Nummer zugeordnet, separat da- 
von speichert Google die Mailadressen, 
damit die Gesichtsdaten auf Nachfrage 
gelöscht werden können. Davon abge- 
sehen werden die Informationen 18 Mo- 
nate lang gespeichert. 

Das kommende Pixel 4 verwendet 
für die Gesichtserkennung ein ganzes 
Sensoren-Array, bestehend aus Kame- 
ra, Soli-Chip (Radar), Helligkeits- und 
Distanzsensor sowie zwei Infrarot-Ka- 
meras, womit Google für die Erkennung 
eine komplette Tiefenkarte des Gesichts 
erstellt. Die Daten speichert das Pixel- 
Gerät lokal im Sicherheitschip „Titan 
M”. Auf Google-Server gelangen die per- 
sönlichen Gesichtsdaten nicht, so Goog- 
le: Sie „verlassen niemals das Telefon”. 
Pixel 4 soll noch 2019 auf den Markt 
kommen (Berger, Google zahlt 5 US- 
Dollar für Gesichtsscan, um Pixel 4 zu 
trainieren, www.heise.de 30.07.2019, 
Kurzlink: https://heise.de/-4483351). 
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Russland 


Neue Erkenntnisse über 
Netzüberwachung durch 
FSB 


Sicherheitsforschende haben eine 
nicht ausreichend geschützte Daten- 
bank gefunden, in der jede Menge De- 
tails über das russische Abhörsystem 
SORM zusammengetragen waren. Das 
Cybersecurity-Unternehmen UpGuard 
hat die Verantwortlichen darauf auf- 
merksam gemacht, aber darüber hinaus 
einige der gefundenen Informationen 
öffentlich gemacht. Demnach werden 
in Städten überall in Russland auf Be- 
treiben des Geheimdienstes FSB etwa 
waschmaschinengroße Boxen bei Tele- 
fon- und Internetprovidern installiert, 
mit denen der übermittelte Datenver- 
kehr vollständig erfasst wird. 

Im Rahmen der Aufarbeitung des von 
Edward Snowden öffentlich gemach- 
ten NSA-Skandals hatte Anfang 2014 
der russische Journalist und Geheim- 
dienstexperte Andrej Soldatow im EU- 
Parlament erklärt, dass das enthüllte 
US-Spionageprogramm PRISM jenem 
aus Russland entspricht. Das sei bereits 
in der Sowjetunion eingeführt und dann 
von dem KGB-Nachfolger modernisiert 
worden. Von UpGuard gefunden wur- 
den ca. 1,7 Terabyte an Daten - darun- 
ter 578.000 Fotos -, die ein Mitarbeiter 
von Nokia nicht ausreichend geschützt 
habe. Wie das US-Magazin TechCrunch 
berichtete, enthüllen die Dokumente 
die Kooperation Nokias beim Ausbau 
des Massenüberwachungssystems. Der 
finnische Netzwerkausrüster schlug 
demnach in den Jahren 2016 und 2017 
Änderungen an Russlands Netzen vor, 
damit sie den Anforderungen der Über- 
wachungsgesetze genügen. Außerdem 
zeigten die Dokumente, dass die Boxen 
zur sogenannten „Lawful Interception” 
direkten Zugriff auf den Datenverkehr 
haben, der durch die Netze fließt - „in- 
klusive der Telefonate, Nachrichten und 
Daten“. Adressen und Grundrisse wür- 
den den genauen Standort aller Über- 
wachungsboxen verraten, jeweils deut- 
lich in rot markiert. 

Nokia soll versichert haben, dass es 
lediglich die Zugänge einrichte, die 
eigene Technik würde keine durchge- 


leiteten Daten speichern, analysieren 
oder verarbeiten. Gemäß TechCrunch 
erledigt das dann Technik des russi- 
schen Herstellers Malvin Systems. Diese 
ermögliche die Sammlung und Speiche- 
rung jeder Menge Daten zu Russlands 
BürgerInnen und allen, deren Geräte im 
Mobilfunknetz angemeldet sind. Staat- 
liche angeordnete Überwachung von 
Kommunikationsnetzen gibt es auch in 
westlichen Staaten. Alexander Isavnin 
von der russischen Internet Protection 
Society hebt hervor, dass die Anbieter 
die russischen Überwachungsauffor- 
derungen nicht überprüfen, sondern 
einfach umsetzen müssen: „Nur der FSB 
weiß, was gesammelt wird“. Es gebe 
keine Kontrolle durch Dritte. (Holland, 
Russlands PRISM: Datenleck zeigt No- 
kias Beteiligung an Überwachungs- 
programm, www.heise.de 19.09.2019, 
Kurzlink: https://heise.de/-4533909). 


China 


Handynummer künftig nur 
noch nach Gesichtsscan 


Von Dezember 2019 an bekommt man 
in China nur noch einen Internetan- 
schluss oder eine Handynummer, wenn 
zuvor zur Überprüfung der Identität das 
Gesicht gescannt wurde. So soll sicher- 
gestellt werden, dass hinter dem regist- 
rierten Namen die richtige Person steckt. 
Dass man sich ausweisen muss, wenn 
man einen Vertrag abschließt, ist in vie- 
len Ländern üblich. Dass dafür Techno- 
logie zur Gesichtserkennung eingesetzt 
wird, ist aber weltweit ein Novum. 

Chinas Internetbehörden führen einen 
unerbittlichen Kampf gegen die Anony- 
mität im heimischen Netz. Bereits heu- 
te müssen Internetnutzende sämtliche 
Accounts bei sozialen Netzwerken und 
anderen Onlinediensten mit ihrer Han- 
dynummer verknüpfen. Sie dient den Be- 
hörden als digitale Identifikationsnum- 
mer. Fast jede Onlineaktivität kann so 
im Bruchteil einer Sekunde einer Person 
zugeordnet werden. Das beginnt bei so 
banalen Dingen wie dem Eintippen einer 
Suchanfrage. Das neue Gesetz soll nun 
auch die letzten Lücken dieses Kontroll- 
systems schließen. Die digitale Überwa- 
chung hat sehr analoge Konsequenzen: 
Regelmäßig werden Menschen verhaftet, 
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die sich kritisch gegenüber der Regie- 
rung geäußert haben. So wurden jüngst 
mehrere Personen festgenommen, die 
angeblich Chinas Flagge online verun- 
glimpft hatten. 

Gesichtserkennung ist in China allge- 
genwärtig. Mittels der Technologie kann 
man seinen Kaffee oder Rechnungen be- 
zahlen. Universitäten kontrollieren so, 
wer den Campus betritt. Und mithilfe 
eines landesweiten Netzwerks aus bald 
600 Millionen Kameras werden Men- 
schen auf der Straße identifiziert, die bei 
Rot über die Straße gegangen sind oder 
gegen andere Verkehrsregeln verstoßen 
haben. In einigen Städten werden sie auf 
Bildschirmen öffentlich angeprangert. 
Peking wirbt überall auf der Welt für sein 
hartes Vorgehen im Netz. Das Konzept 
der sogenannten Cyber-Souveränität soll 
jeder Regierung das Recht geben, das In- 
ternet im eigenen Land nach Belieben zu 
regulieren und zu zensieren. Dem Thema 
ist sogar eine eigene, jährliche Internet- 
konferenz gewidmet. 

Im Ausland wird die Technologie 
kritischer gesehen. Die USA haben 
jüngst mehrere chinesische Hersteller 
von Gesichtserkennungssoftware auf 
eine schwarze Liste gesetzt, weil deren 
Technologie zur Unterdrückung musli- 
mischer Minderheiten genutzt werden 
soll. US-Firmen dürfen ihre Technologie 
nicht mehr ohne Erlaubnis nach China 
verkaufen. Viele halten die Software 
zudem schlicht für zu fehleranfällig. 
Die Folgen sind bisweilen kurios: So soll 
in China eine Frau nach einer Nasen- 
OP von keinem System mehr erkannt 
worden sein. Vor allem nicht von ihrer 
digitalen Geldbörse, die sie daraufhin 
nicht mehr zum Zahlen nutzen konn- 
te (Deuber, Überwacht, überall, SZ 
19./20.10.2019, 1). 


China 


Bezahlen mit Gesichts- 
Biometrie bei WeChat 


Face Pay, die Bezahlung per Gesichts- 
erkennung wird in China Realität. Der 
Messenger-Dienst WeChat hat die Funk- 
tion unter dem Namen „Frog Pro” ein- 
geführt. Die Technik wurde von dem 
WecChat-Konzern Tencent entwickelt, ei- 
nem der Big Player im Bezahl-Geschäft: 
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Im Geschäft scannt eine Kamera das Ge- 
sicht der KundlIn. Die Zahlung wird über 
die Kontodaten abgewickelt, die sie bei 
WeChat hinterlegt hat. Das System hat 
gewaltiges Potenzial. WeChat ist das 
größte Soziale Netzwerk in Asien. Es 
verknüpft Funktionen von Facebook, 
Facebooks Messenger und WhatsApp auf 
einer Plattform. Allein in China loggen 
sich täglich 800 Millionen Menschen bei 
WeChat ein. 

Der Hamburgische Datenschutzbeauf- 
tragte Johannes Caspar hält die Einbin- 
dung biometrischer Daten in den Zah- 
lungsverkehr für gefährlich: „Das Miss- 
brauchspotential ist groß. Es braucht 
nur ein paar Fotos einer Person, um die 
gesamte Topologie eines Gesichts zu- 
verlässig rekonstruieren zu können.” In 
China werden darüber hinausgehend die 
Menschen in großem Stil von Kameras 
überwacht, wenn sie sich in der Öffent- 
lichkeit bewegen. Wer sich zum Beispiel 
im Straßenverkehr falsch oder fahrläs- 
sig verhält, kann Strafpunkte kassieren. 
Wenn das Bildmaterial aus den flächen- 
deckenden Kameras in falsche Hände 
geriete, könnten Betrüger mit fremden 
Identitäten bezahlen. 

Selbst die modernste Software zur 
Gesichtserkennung ist fehleranfällig. 
Aktuelle Zahlen dazu präsentierten Ex- 
perten im Mai 2019 beim Internationa- 
len Workshop für Photogrammetrische 
& Bildverarbeitungs-Techniken bei Vi- 
deoüberwachung, Biometrie und Bio- 
medizin in Moskau. Die Genauigkeit von 
Bewegungssoftware variiert demnach 
zwischen 79 und 84%, was schon als 
Fortschritt gefeiert wird. Eine Gesichts- 
erkennung durch Bewegtbildkameras 
istin jedem sechsten Fall fehlerhaft. 

Caspar meint: „Ein exakter Abgleich 
der Daten kann nicht erreicht werden. 
Die biometrischen Merkmale werden 
nicht auf Gleichheit, sondern nur auf 
hinreichende Ähnlichkeit getestet.” 
Beim Bezahlen wäre dies ein heikles 
Spiel mit Wahrscheinlichkeiten und 
Unwägbarkeiten. Jörg Schreiner, Soft- 
wareexperte und Managing Partner 
des Unternehmensberaters co-shift, 
geht davon aus, dass WeChat Verhal- 
tensprofile der KundInnen nutzt, um 
Irrtümer bei der Gesichtserkennung 
zu vermeiden: „Darüber könnte ich je- 
derzeit feststellen, ob die Person, die 
eine Identität vorgibt, auch tatsächlich 


diese Person ist.” Ein solches Vorgehen 
ist für DatenschützerInnen erst recht 
nicht akzeptabel. Marit Hansen, Daten- 
schutzbeauftragte des Landes Schles- 
wig-Holstein, befürchtet, dass WeChat 
zur Beweissicherung einer Bezahlung 
Gesichtsfotos speichert - samt Zeit und 
Ort des Kaufs. Dadurch könnten detail- 
lierte Bewegungsprofile von KundInnen 
gezeichnet werden, die wiederum Po- 
tenzial für Marketing hätten. Mirko Hül- 
lemann, Gründer und Geschäftsführer 
der Paymentfirma Heidelpay, ergänzt: 
„Als Omni-Channel gäbe es für WeChat 
unendlich viele Möglichkeiten, entspre- 
chende Botschaften über seinen Mes- 
senger auszusenden.” 

In Europa gibt es strengere Bestim- 
mungen als in China. Und doch rechnet 
Datenschützerin Hansen damit, dass 
Bezahlsysteme via Gesichtserkennung 
in absehbarer Zeit auch für Firmen 
wie Facebook oder Amazon ein The- 
ma werden: „Wir sind auf dem Weg zu 
Welt-Datenbanken mit allen Gesichtern 
von allen Menschen.” Die Datenschutz- 
Grundverordnung (DSGVO) schließt 
einen solchen Service auch in Europa 
nicht generell aus. Artikel 9 erlaubt 
Konzernen wie Facebook, biometrische 
Daten wie Gesichtsbilder zu verarbeiten, 
wenn Nutzende in die Verarbeitung zu 
einem bestimmten Zweck eingewilligt 
haben. Laut Artikel 7 DSGVO müssen sie 
dafür exakt informiert werden, was mit 
ihren biometrischen Daten geschieht 
und welche Konsequenzen deren Ver- 
wendung hat. Aus Sicht von Marit Han- 
sen genügt Facebook diesen Vorgaben 
nicht: „Im Augenblick genügen Face- 
books Informationen nicht, um zu sa- 
gen: Das ist datenschutzkonform. Ich 
sehe die Gefahr, dass ein solches System 
auch bei Facebook eingeführt wird - 
selbst wenn es nicht völlig im Einklang 
mit den europäischen Datenschutzbe- 
stimmungen stünde. Es gibt viele Leute, 
die dabei mitmachen.” 

Solange KundInnen einen Mehrwert 
in einer neuer Technologie sehen, ist es 
schwer, diese aus Gründen des Daten- 
schutzes aufzuhalten. Und das Poten- 
zial bei Facebook als weltweit größtem 
Sozialen Netzwerk wäre nochmal hö- 
her als bei WeChat. Zusammen mit den 
hauseigenen Produkten WhatsApp und 
Instagram kontrolliert Facebook nahe- 
zu den gesamten Messenger-Markt der 
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westlichen Welt. Täglich nutzen mehr 
als zwei Milliarden Menschen die Diens- 
te. Wer sieht, was Facebook tut, um die 
drei Angebote zu verknüpfen, kann er- 
ahnen, in welch großem Stil Facebook 
ein Bezahlsystem per Gesichtserkennung 
ausrollen könnte. Payment-Experte Hül- 
lemann hält es für vorstellbar, dass eine 
auf Facebook gespeicherte Gesichtser- 
kennung für eine Zahlung per WhatsApp 
ausgedehnt werden könnte: „Wenn ich 
bei WhatsApp zielgerichtete Werbung 
geschickt bekomme und über dieselbe 
Funktion im Laden auch noch bezahlen 
kann, ist das doch eine große Erleichte- 
rung für die Menschen“ (Bohnensteffen, 
Bezahlen per Gesicht: WeChat prescht in 
China vor — doch die Schöne Neue Welt 
des Einkaufens alarmiert Datenschützer, 
www.businessinsider.de 20.09.2019). 


Ecuador 


Datenleck betrifft fast alle 
BürgerInnen 


Am 16.09.2019 haben Sicherheits- 
forscher öffentlich gemacht, dass 
durch eine unsachgemäß konfigurierte 
Datenbank zahlreiche vertrauliche per- 
sönliche Daten von nahezu allen Ein- 
wohnerInnen Ecuadors frei im Inter- 
net zugänglich waren - darunter viele 
Kinder, aber auch der Präsident des 
Landes oder der Wikileaks-Gründer Ju- 
lian Assange. Auf einem Elasticsearch- 
Server waren demnach rund 20,8 Milli- 
onen Datensätze online abrufbar - ein 
Passwort habe es nicht gegeben. Die 
Datensätze enthüllen persönliche In- 
formationen der EinwohnerInnen samt 
Familienverhältnissen und Verwandt- 
schaftsbeziehungen, Einwohnermel- 
dedaten, Finanzdaten, Informationen 
zum Arbeitsplatz sowie zu angemelde- 
ten Fahrzeugen. 

Im Zuge der Ermittlungen zu dem 
Daten-Leak hat die zuständige Staats- 
anwaltschaft zwei Vertreter des offen- 
bar verantwortlichen Unternehmens 
Novaestrat vor Ort vorübergehend 
festgenommen. Außerdem wurden die 
Geschäftsräume und eine Wohnung 
durchsucht. Insgesamt seien fünf 
Computer, sowie weitere Geräte und 
Dokumente beschlagnahmt worden. 
Außerdem hätten die Ermittler mitge- 
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teilt, dass sie davon ausgehen, dass die 
Daten von mindestens sechs öffent- 
lichen Einrichtungen gestohlen oder 
auf illegalen Wegen erworben worden 
seien. Vertreter des Ministeriums für 
Telekommunikation und Informations- 
sicherheit teilten mit, dass Novaestrat 
nicht im Besitz der Daten hätte sein 
dürfen. Gleichzeitig sei aber versichert 
worden, dass das Unternehmen keine 
vom Staat betriebenen Server gehackt 


Technik-Nachr 


habe. Es bestehe der Verdacht, dass 
Novaestrat unter der vorigen Regie- 
rung an die Daten gelangt sei, als es 
mehrere Regierungsaufträge erhalten 
habe. In dem südamerikanischen Land 
soll nun ein neues Datenschutzgesetz 
vorangetrieben werden (Holland, Rie- 
siges Datenleck in Ecuador: Erste Fest- 
nahmen und neue Details, www.heise. 
de 18.09.2019, Kurzlink: https:// 
heise.de/-4533124). 


Genetische Alters- 
bestimmung 


Anhand von sog. epigenetischer 
Markierungen im Erbgut können 
Fraunhofer-Forschende auf das biolo- 
gische Alter einer Zellprobe schließen. 
Ebenso wie der Mensch als Ganzes al- 
tert auch sein Erbgut. Ein Alterungs- 
mechanismus ist die Methylierung, 
bei der kleine Moleküle, sogenannte 
Methylgruppen, an die DNA angeheftet 
werden. Oftmals haben diese Methylie- 
rungen eine regulatorische Funktion 
und sind reversibel. Doch unter dem 
Strich nimmt das Ausmaß der Me- 
thylierung im Verlauf des Lebens zu. 
Fraunhofer-Forscher haben im Projekt 
„DrugTarget” eine Methode entwickelt, 
um anhand der Methylierungen das Al- 
ter eines Menschen zu bestimmen. Ein 
Mundschleimhautabstrich und des- 
sen genetische Analyse einschließlich 
des Methylierungszustands bilden die 
Grundlage des Alterungstests. Eine 
vom Fraunhofer-Institut für Moleku- 
larbiologie und Angewandte Ökologie 
(IME) entwickelte Software wertet die 
Methylierungen aus und errechnet da- 
raus das biologische Alter der Testper- 
son. Bei Versuchen mit 150 ProbandIn- 
nen lag das Programm maximalein paar 
Monate neben dem chronologischen 
Alter. Die Firma Cerascreen bietet den 
Test bereits als Life-Style-Produkt ge- 
sundheitsbewussten Personen an, die 
wissen wollen, wie biologisch jung ihr 
Körper tatsächlich ist. 


Die Fraunhofer-Forschung verfolgt ein 
anderes Ziel. Methylierungen blockieren 
die Aktivität des jeweiligen Gens und 
können zur Entstehung von Krankheiten 
beitragen. Die Wissenschaftler möchten 
deswegen gezielt Methylierungen einzel- 
ner Gene aufheben. Fraunhofer-Forscher 
Carsten Claussen erläutert: „Heute gibt 
es riesige Datenbanken mit mehreren 
Tausend Wirkstoffen, die wir im Labor 
durchtesten wollen, um herauszufinden, 
ob diese bei bestimmten Methylierungen 
wirken.“ Zusätzlich will das Team neue 
Wirkstoffe entwickeln und testen. 

Wesentlichen Anteil daran soll die ei- 
gens entwickelte Software haben: „Der 
Algorithmusistin der Lage, auch bislang 
unbekannte Felder im Erbgut zu finden, 
in denen relevante Gene stecken”, er- 
klärt Claussen und denkt dabei vor allem 
an Gene, die aufgrund ihrer Methylie- 
rung ausfallen und so zum Ziel für The- 
rapien werden könnten. Die Anwendung 
erleichtern soll ein Programm, welches 
das Fraunhofer-Institut für Angewandte 
Informationstechnik (FIT) beisteuert, 
so Carina Goretzky vom FIT: „Damit wird 
es möglich, die genetische Information 
beispielsweise mit der Suche in interna- 
tionalen Datenbanken und öffentlichen 
Listen zu verknüpfen - etwa, wenn in 
den Daten plötzlich ein auffälliges Gen 
angezeigt wird. So kann man schnell 
nachprüfen, ob das Gen schon bekannt 
ist, oder ob bereits bestimmte Wirkstoffe 
existieren, die interessant sein könnten” 
(Mit DNA-Test das biologische Alter be- 
stimmen, biooekonomie.de 15.08.2019). 
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Rechtsprechung 


EuGH 


Opt-out genügt nicht beim 
Cookie-Setzen 


Der Europäische Gerichtshof (EuGH) 
in Luxemburg hat mit Urteil vom 
01.10.2019 entschieden, dass das Set- 
zen von Werbecookies ein explizites 
Opt-in der Nutzenden voraussetzt (C- 
673/17). Gemäß einer Vorlage durch 
den deutschen Bundesgerichtshof 
(BGH) in einem Rechtsstreit zwischen 
dem Verbraucherzentrale Bundesver- 
band (vzbv) und der Gewinnspielfirma 
Planet49 entschied der EuGH, dass Web- 
seitenbetreiber die Nutzenden deutlich 
ausführlicher über die Sammlung von 
Nutzerdaten und die Verwendung von 
Cookies informieren müssen, als sie 
das heute vielfach tun. Einer geplanten 
Cookie-Nutzung müssen die Nutzenden 
explizit zustimmen. Es genügt nicht, 
dass sie einfach bestätigen, dass sie die 
bereitgestellten Cookie-Informationen 
gelesen und verstanden hätten. Sie 
müssen ausführlich über Zweck, Dauer 
und etwaige Weitergabe von Daten in- 
formiert werden. 

Im vorliegenden Fall hatte die Gewinn- 
spielfirma die Häkchen zur Zustimmung 
der Nutzer zur Cookie-Verwendung be- 
reits vorab ausgefüllt. Die Nutzenden 
mussten nur noch auf „Ok“ klicken. Eine 
solche implizite Zustimmung (Opt-out) 
genügt gemäß Art. 5 Abs. 3 der euro- 
päischen Telekommunikations-Daten- 
schutz-Richtlinie (Cookie-Richtlinie) 
nicht. Die danach notwendige aktive Zu- 
stimmung setzt voraus, dass die Nutzen- 
den das Häkchen selbst setzen (Opt-in). 
Vor allem in Deutschland ist das unüb- 
lich, obgleich die Cookie-Richtlinie diese 
explizite Zustimmung bereits seit 2009 
fordert. Der mit der Cookie-Richtlinie 
angestrebte Schutz wird dahingehend 
beschrieben, dass damit alle in „End- 
geräten gespeicherten Informationen” 
erfasst sein sollen, auch „‚Hidden Iden- 
tifiers‘ oder ähnliche Instrumente, die 
ohne das Wissen der Nutzer in deren End- 
geräte eindringen” (Rn. 70). 
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Grundsätzlich sind Mitgliedsstaaten 
dazu verpflichtet, solche EU-Richtlinien 
innerhalb von zwei Jahren in nationales 
Recht zu überführen. Deutschland war 
aber der Auffassung, dass die Cookie- 
Informationspflichten durch das Teleme- 
diengesetz von 2007 (TMG) bereits mit 
EU-Recht konform umgesetzt seien. Ge- 
mäß 8 15 Abs. 3 TMG genügt es, dass den 
Nutzenden eine Widerspruchslösung an- 
geboten wird. Das Urteil kann als Ansage 
an den deutschen Gesetzgeber gewertet 
werden, das deutsche Recht an die EU- 
Regeln anzupassen. Diese Aufgabe könn- 
te allerdings auch der BGH übernehmen, 
indem dieser angesichts der klaren Worte 
aus Luxemburg das TMG in diesem Punkt 
für nicht anwendbar erklärt oder fest- 
legt, dass das TMG so auszulegen ist, wie 
es der EuGH nun vorgeschrieben hat. Der 
vzbv begrüßte das Urteil, weil es die digi- 
tale Privatsphäre stärke. 

Das Luxemburger Urteil ist nicht über- 
raschend. Die Nichtumsetzung der Coo- 
kie-Richtlinie wird von DatenschützerIn- 
nen seit langem kritisiert. Die deutsche 
Datenschutzkonferenz (DSK) hat dar- 
über hinausgehend die Position einge- 
nommen, dass das TMG insgesamt nicht 
mehr anwendbar sei. Für Webseitenbe- 
treiber gelte nur noch die Datenschutz- 
Grundverordnung (DSGVO). Bußgelder 
der Datenschutzaufsichtsbehörden 
liegen nun zumindest im Bereich des 
Möglichen. Viele IT-Anwälte empfehlen 
deshalb eigentlich schon länger eine mit 
EU-Recht konforme Einwilligungspraxis 
(Muth, Gericht verlangt mehr Klicks, SZ 
02./03.10.2019, 23). 


EuGH 


Kein weltweites „Recht auf 
Vergessenwerden” 


Mit Urteil vom 24.09.2019 hat der 
Europäische Gerichtshof (EuGH) in Lu- 
xemburg entschieden, dass der Betreiber 
einer Suchmaschine nicht verpflichtet 
ist, eine Auslistung in allen Versionen 
seiner global verfügbaren Suchmaschine 


vorzunehmen (C-507/17). Diese Pflicht 
bezieht sich auf die mitgliedstaatlichen 
Versionen. Zudem muss er Maßnahmen 
ergreifen, um die Internetnutzenden da- 
von abzuhalten, von einem Mitgliedstaat 
aus auf die entsprechenden Links in 
Nicht-EU-Versionen der Suchmaschine 
zuzugreifen. 

Mit Beschluss vom 10.03.2016 hatte 
die französische Datenschutzaufsichts- 
behörde, die Commission nationale de 
Vinformatique et deslibertes (CNIL, Nati- 
onaler Ausschuss für Informatik und Frei- 
heitsrechte, Frankreich) gegen die Goog- 
le Inc. eine Sanktion von 100.000 Euro 
verhängt. Google hatte sich geweigert, 
in den Fällen, in denen ein Auslistungs- 
antrag erfolgreich ist, die Auslistung auf 
sämtliche Domains seiner Suchmaschine 
anzuwenden. Das Unternehmen war zu- 
vor von der CNIL am 21.05.2015 aufge- 
fordert worden, die Auslistung auf alle 
Domains zu erstrecken, kam dieser Auf- 
forderung aber nicht nach. Es entfernte 
die betreffenden Links nur aus den Er- 
gebnissen, die bei Sucheingaben auf Do- 
mains angezeigt wurden, die den Versio- 
nen ihrer Suchmaschine in den Mitglied- 
staaten entsprachen, und erhob beim 
Conseil d’Etat (französischer Staatsrat, 
das höchste Gericht des Landes) Klage 
auf Nichtigerklärung des Beschlusses 
vom 10.03.2016. Google vertrat die An- 
sicht, das Auslistungsrecht setze nicht 
zwangsläufig voraus, dass streitige Links 
ohne geografische Beschränkung auf 
sämtlichen Domains seiner Suchmaschi- 
ne entfernt werden müssten. Der Conseil 
d’Etat legte dem EuGH Fragen zur Vor- 
abentscheidung vor. 

In seinem Urteil wies der EuGH auf 
sein früheres Urteil zum „Recht auf 
Vergessenwerden” vom 13.05.2014 hin 
(C-131/14). Danach kann ein Suchma- 
schinenbetreiber, es handelte sich auch 
um Google, verpflichtet werden, von der 
Ergebnisliste, die nach einer Namenssu- 
che angezeigt wird, Links zu von Dritten 
veröffentlichten Websites mit Informa- 
tionen zu dieser Person zu entfernen, 
auch wenn der Name oder die Informa- 
tionen auf diesen Websites nicht vorher 
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oder gleichzeitig gelöscht werden und 
sogar auch dann, wenn ihre Veröffentli- 
chung auf den Websites als solche recht- 
mäßig ist. 

Der EuGH bestätigte nun, dass das 
europäische Datenschutzrecht anwend- 
bar ist, da Google im französischen Ho- 
heitsgebiet eine Niederlassung besitzt 
und Tätigkeiten ausübt, insbesondere 
gewerbliche und Werbetätigkeiten, die 
untrennbar mit der Verarbeitung per- 
sonenbezogener Daten zum Betrieb der 
betreffenden Suchmaschine verbunden 
sind. Die Suchmaschine führt unter Be- 
rücksichtigung der Verbindungen zwi- 
schen ihren verschiedenen nationalen 
Versionen im Rahmen der Tätigkeiten der 
französischen Niederlassung der Google 
Inc. eine einheitliche Verarbeitung per- 
sonenbezogener Daten aus. Das Gericht 
bestätigte, dass in einer globalisierten 
Welt der Zugriff von Internetnutzenden, 
insbesondere solcher, die sich außerhalb 
der Union befinden, auf die Listung eines 
Links, der zu Informationen über eine 
Person führt, deren Interessenschwer- 
punkt in der Union liegt, auch innerhalb 
der Union unmittelbare und erhebliche 
Auswirkungen auf diese Person haben 
kann. Nur mit einer weltweiten Auslis- 
tung könne somit das Schutzziel des Uni- 
onsrechts vollständig erreicht werden. 
Zahlreiche Drittstaaten kennen kein 
solches Auslistungsrecht. Zudem sei das 
Recht auf Schutz personenbezogener 
Daten kein uneingeschränktes Recht. Es 
müsse im Hinblick auf seine gesellschaft- 
liche Funktion gesehen und unter Wah- 
rung des Verhältnismäßigkeitsprinzips 
gegen andere Grundrechte abgewogen 
werden. Das Recht auf Achtung des Pri- 
vatlebens und auf Schutz personenbezo- 
gener Daten müsse mit der Informations- 
freiheit der Internetnutzenden abgewo- 
gen werden, wobei diese Abwägung welt- 
weit unterschiedlich ausfallen könne. 
Der Unionsgesetzgeber habe eine solche 
Abwägung in Bezug auf die Reichweite 
einer Auslistung nicht über die Union 
hinaus durchgeführt. Einem Wirtschafts- 
teilnehmer wie Google sollte nicht eine 
Pflicht zur Auslistung für die nicht mit- 
gliedstaatlichen nationalen Versionen 
seiner Suchmaschine auferlegt werden. 
Das Unionsrecht enthalte keine Instru- 
mente und Kooperationsmechanismen 
im Hinblick auf die Reichweite einer Aus- 
listung über die Union hinaus. 
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Nach derzeitigem Stand sei ein Such- 
maschinenbetreiber, der einem Aus- 
listungsantrag der betroffenen Person 
- gegebenenfalls auf Anordnung einer 
Aufsichts- oder Justizbehörde eines 
Mitgliedstaats - stattgibt, nach Uni- 
onsrecht nicht verpflichtet, eine solche 
Auslistung in allen Versionen seiner 
Suchmaschine vorzunehmen. Die Pflicht 
bezieht sich auf alle mitgliedstaatlichen 
Versionen der Suchmaschine. Dabei 
sind hinreichend wirksame Maßnahmen 
zu ergreifen, um einen wirkungsvollen 
Schutz der Grundrechte der betroffenen 
Person sicherzustellen. Eine solche Aus- 
listung muss daher erforderlichenfalls 
von Maßnahmen begleitet sein, die es 
tatsächlich erlauben, die Internetnut- 
zenden, die von einem Mitgliedstaat 
aus eine Suche anhand des Namens der 
betroffenen Person durchführen, daran 
zu hindern oder zumindest zuverlässig 
davon abzuhalten, über die im Anschluss 
an diese Suche angezeigte Ergebnisliste 
mittels einer Nicht-EU-Version der Such- 
maschine auf die Links zuzugreifen, die 
Gegenstand des Auslistungsantrags sind 
(Geoblocking). Schließlich stellte der 
EuGH fest, dass nach derzeitigem Stand 
das Unionsrecht zwar keine Auslistung 
in allen Versionen einer Suchmaschi- 
ne vorschreibt, doch verbietet es dies 
auch nicht. Daher blieben die Behörden 
eines Mitgliedstaats befugt, anhand 
von nationalen Schutzstandards für die 
Grundrechte eine Abwägung zwischen 
dem Recht der betroffenen Person auf 
Achtung des Privatlebens und auf Schutz 
der sie betreffenden personenbezogenen 
Daten einerseits und dem Recht auf freie 
Information andererseits vorzunehmen 
und nach erfolgter Abwägung gegebe- 
nenfalls dem Suchmaschinenbetreiber 
aufzugeben, eine Auslistung in allen 
Versionen seiner Suchmaschine vorzu- 
nehmen (Gerichtshof der Europäischen 
Union, PMNr. 112/19 v. 24.09.2019). 


EuGH 


Verpflichtung zur Löschung 
von Hassrede ist nachhaltig 
und global möglich 


Gemäß einem Urteil des Europä- 
ischen Gerichtshofs (EuGH) vom 
03.10.2019 können Online-Dienste wie 


Facebook gezwungen werden bei einer 
rechtswidrigen Beleidigung nach wei- 
teren wortgleichen oder ähnlichen Äu- 
ßerungen zu suchen und diese zu lö- 
schen (C-18/18). Hässliche Posts und 
Tweets und Comments waren bisher nur 
begrenzt gerichtlich in den Griff zu be- 
kommen. Mit dem Urteil des EuGH soll 
der Rechtsschutz zumindest ein wenig 
verbessert werden, indem Plattformen 
wie Facebook verpflichtet werden, bei 
der Tilgung rechtswidriger Inhalte ef- 
fektiver vorzugehen. Sie können nicht 
nur verpflichtet werden, exakt den ei- 
nen gerichtlich beanstandeten Post zu 
löschen, sondern auch sämtliche wort- 
und sinngleichen Inhalte. Der EuGH 
eröffnet zudem den Gerichten einen 
Weg, um Onlinedienste zur weltweiten 
Löschung zu verdonnern. 

Auslöser des Verfahrens war eine 
Klage der österreichischen Politikerin 
und ehemaligen Grünen-Vorsitzenden 
Eva Glawischnig. Sie hatte sich 2016 in 
der Einwanderungspolitik zu Wort ge- 
meldet, und zwar mit der damals eher 
unpopulären Forderung, die Mindestsi- 
cherung für Flüchtlinge beizubehalten. 
Es folgte die erwartbare Beschimpfung 
auf Facebook. Von einem Account un- 
ter falschem Namen aus wurde sie als 
„miese Volksverräterin” und „korrupter 
Trampel” beschimpft, und als jemand, 
die in ihrem Leben noch keinen Cent 
mit ehrlicher Arbeit verdient habe. Und 
überhaupt, die Grünen seien eine „Fa- 
schistenpartei”. 

Facebook löschte die Posts auf ge- 
richtliche Anordnung hin nur zögerlich 
und zudem begrenzt auf Österreich; 
Glawischnig klagte. Der Oberste Ge- 
richtshof Österreichs rief daraufhin 
den EuGH an mit der Frage: Wie aktiv, 
wie wirkungsvoll, wie nachhaltig muss 
ein Onlinedienst gegen die Verbreitung 
solcher Beleidigungen auf der eigenen 
Plattform vorgehen? Der EuGH stellte 
nun klar, dass die Gerichte der Mit- 
gliedsstaaten den Diensten ein forsches 
Vorgehen gegen die Multiplizierung der 
Hassposts zumuten dürfen. Diese kön- 
nen zunächst zur Löschung und Sper- 
rung wortgleicher Inhalte verpflichtet 
werden. Facebook muss von sich aus 
nach den Wortgruppen „Glawischnig”, 
„miese Volksverräterin” und „korrupter 
Trampel” suchen und löschen. Gleiches 
gilt für sinngleiche Inhalte, wobei der 
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EuGH hier eine Einschränkung macht. 
Diese Verpflichtung gilt nur für mini- 
male Variationen des verbotenen Posts, 
also für derart geringfügige Abweichun- 
gen, dass sie sich noch mit den Mitteln 
der Technik aufspüren lassen. Der EuGH 
will vom Bauprinzip der Richtlinie über 
den elektronischen Rechtsverkehr 
nicht abweichen, wonach sogenannte 
Hosting-Anbieter wie Facebook nicht 
verpflichtet sind, ihre Dienste ständig 
nach rechtswidrigen Inhalten zu scan- 
nen. Löschen müssen sie erst, wenn sie 
über beleidigende Nachrichten infor- 
miert werden: „notice and take down“. 
„lake down“ soll wirklich „take down” 
bedeuten. 

Der EuGH spielt damit den Ball wieder 
zurück an die Gerichte der EU-Staaten, 
die per Gesetz entscheiden müssen, wie 
stark sie die Onlinedienste in die Pflicht 
nehmen. Gemäß dem Würzburger An- 
walt Chan-jo Jun besteht insofern für 
Deutschland noch Luft nach oben: „Bis- 
her hatte die deutsche Rechtsprechung 
angenommen, dass es weder eine Ver- 
pflichtung gebe, gleichartige Inhalte 
überall zu löschen, noch die Verpflich- 
tung, den Upload entsprechender Inhal- 
te zu verhindern.” Er weist darauf hin, 
dass bei der Verletzung von Urheber- 
rechten inzwischen die plattformüber- 
greifende Entfernung von Musiktiteln 
verlangt werde. Der bayerische Justiz- 
minister Georg Eisenreich (CSU) schlug 
vor, das zwei Jahre alte Netzwerkdurch- 
setzungsgesetz entsprechend zu erwei- 
tern. Wenn Betroffene gegen jeden ein- 
zelnen Post Beschwerde einlegen müss- 
ten, seien diese „praktisch wehrlos“. 

Bei der Frage, ob Onlinedienste eine 
Löschung auf das Gebiet des jeweili- 
gen Landes beschränken dürfen, so wie 
dies mit dem sogenannten Geoblocking 
geschieht, sind gemäß dem Urteil nun 
die nationalen Gerichte am Zug. Aus 
EU-Sicht jedenfalls sind sie durch das 
Völkerrecht nicht an der Anordnung 
weltweiter Löschpflichten gehindert. 
Rechtsanwalt Jun meinte, dass Geoblo- 
cking keinen effektiven Rechtsschutz 
liefere, weil solche Blockaden umgan- 
gen werden könnten. 

Der EuGH zeigt damit der Justiz und 
dem Gesetzgeber die Instrumente, mit 
denen sie soziale Medien in die Pflicht 
nehmen können. Die Standards für Be- 
leidigung aber legen nationale Gerichte 
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selbst fest. Von ihren Entscheidungen 
hängt ab, ob Betroffene wirksam ge- 
gen Hass und Hetze geschützt werden. 
In diesem Zusammenhang sorgte kurz 
vor dem EuGH-Urteil ein Beschluss des 
Landgerichts Berlin für große Empö- 
rung in der Öffentlichkeit, wonach sich 
die Grünen-Politikerin Renate Künast 
Beschimpfungen als „Stück Scheiße” 
und „Geisteskranke” gefallen lassen 
müsse. Künast hat nun, unterstützt von 
der Initiative Hate-Aid, Beschwerde 
eingelegt, ein Schritt, um die Standards 
klarer zu definieren: „Im Unterschied 
zum Landgericht halte ich die getätig- 
ten Äußerungen über mich keineswegs 
für hinnehmbar! Als demokratische 
Gesellschaft dürfen wir einen solchen 
Umgangston nicht akzeptieren” (Ja- 
nisch, Facebooks lange Leine wird ein 
bisschen kürzer, www.sueddeutsche. 
de 03.10.2019 = Janisch, Löschen ist 
Pflicht, SZ 04.10.2019, 1, 4,7). 


BVerwG 


Datenschutzbehörde darf 
Facebook-Fanpagebetrieb 
untersagen 


Das Bundesverwaltungsgericht 
(BVerwG) in Leipzig hat mit Urteil vom 
11.09.2019 entschieden, dass ein Be- 
treiber eines im sozialen Netzwerk Fa- 
cebook unterhaltenen Unternehmens- 
auftritts (Fanpage) verpflichtet werden 
kann, seine Fanpage abzuschalten, falls 
die von Facebook zur Verfügung gestell- 
te digitale Infrastruktur schwerwiegen- 
de datenschutzrechtliche Mängel auf- 
weist (BVerwG 6 C 15.18). 

Im Jahr 2011 hatte die schleswig- 
holsteinische Datenschutzaufsicht, das 
Unabhängige Landeszentrum für Daten- 
schutz (ULD), die Wirtschaftsakademie 
Schleswig-Holstein, eine in Kiel ansäs- 
sige Bildungseinrichtung der Indust- 
rie- und Handelskammern des Landes 
(IHK), verpflichtet, unter der Geltung 
der Datenschutzrichtlinie (Richtlinie 
95/46/EG), die von ihr bei Facebook be- 
triebene Fanpage zu deaktivieren. Der 
Bescheid beanstandete, dass Facebook 
bei Aufruf der Fanpage auf personen- 
bezogene Daten der Internetnutzenden 
zugreift, ohne dass diese gemäß den 
Bestimmungen des Telemediengesetzes 


(TMG) über Art, Umfang und Zwecke der 
Erhebung sowie ein Widerspruchsrecht 
gegen die Erstellung eines Nutzungs- 
profils für Zwecke der Werbung oder 
Marktforschung unterrichtet würden. 
Ein gegenüber der Klägerin als Betreibe- 
rin der Fanpage erklärter Widerspruch 
des Nutzers bleibe mangels entspre- 
chender technischer Einwirkungsmög- 
lichkeiten folgenlos. 

Die Klage hatte in den Vorinstanzen 
Erfolg gehabt. Das Oberverwaltungs- 
gericht Schleswig-Holstein (OVG) hatte 
eine datenschutzrechtliche Verantwort- 
lichkeit der Klägerin abgelehnt, weil sie 
keinen Zugriff auf die erhobenen Daten 
habe (DANA 4/2014, 184 f.). Im Revi- 
sionsverfahren wandte sich das ULD 
an das BVerwG, das mit Beschluss vom 
25.02.2016 eine Vorlage beim Europä- 
ischen Gerichtshof (EuGH) vornahm 
(BVerwG 1 C 28.14, DANA 2/2016, 107). 
Mit Urteil vom 05.06.2018 entschied der 
EuGH, dass der Betreiber einer Fanpa- 
ge für die durch Facebook erfolgende 
Datenverarbeitung mitverantwortlich 
ist, da er durch den Betrieb der Fanpa- 
ge Facebook den Zugriff auf die Daten 
der Fanpage-Besuchenden ermöglicht 
(C-210/16, ausführlich dazu Weichert, 
DANA 1/2019, 4 ff.). 

Das BVerwG hat auf der Grundlage die- 
ser bindenden Vorgabe das Berufungs- 
urteil aufgehoben und den Rechtsstreit 
an das OVG zurückverwiesen. Um das 
von der Datenschutzrichtlinie bezweck- 
te hohe Datenschutzniveau möglichst 
zügig und wirkungsvoll durchzusetzen, 
konnte sich das ULD bei der Auswahl 
unter mehreren datenschutzrechtlichen 
Verantwortlichen vom Gedanken der 
Effektivität leiten lassen und ermessen- 
fehlerfrei die Klägerin für die Herstel- 
lung datenschutzkonformer Zustände 
bei Nutzung ihrer Fanpage in die Pflicht 
nehmen. Es musste nicht gegen eine der 
Untergliederungen oder Niederlassun- 
gen von Facebook vorgehen, weil das 
wegen der fehlenden Kooperationsbe- 
reitschaft von Facebook mit erheblichen 
tatsächlichen und rechtlichen Unsi- 
cherheiten verbunden gewesen wäre. 
Erweisen sich die bei Aufruf der Fanpa- 
ge ablaufenden Datenverarbeitungen 
als rechtswidrig, so stellt die Deaktivie- 
rungsanordnung ein verhältnismäßiges 
Mittel dar, weil der Klägerin keine an- 
derweitige Möglichkeit zur Herstellung 
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datenschutzkonformer Zustände offen- 
steht. 

Um die Rechtswidrigkeit der bean- 
standeten Datenverarbeitungsvorgänge 
festzustellen, bedarf es einer näheren 
Aufklärung der tatsächlichen Umstände 
durch das OVG. Die Rechtmäßigkeit der 
bei Aufruf der klägerischen Fanpage ab- 
laufenden Datenverarbeitungsvorgänge 
ist dabei an den Vorgaben des im Zeit- 
punkt der letzten Behördenentschei- 
dung gültigen Datenschutzrechts, ins- 
besondere an den Vorschriften des Te- 
lemediengesetzes zu messen (BVerwG, 
PE Nr. 62/2019 v. 11.09.2019, Daten- 
schutzbehörde kann Betrieb einer Face- 
book-Fanpage untersagen). 


BVerwG 


EuGH-Vorlage wegen 
deutscher Vorratsdaten- 
speicherung 


Das Bundesverwaltungsgericht 
(BVerwG) in Leipzig hat mit Beschluss 
vom 25.09.2019 dem Europäischen 
Gerichtshof (EuGH) im Luxemburg die 
Frage vorgelegt, ob die deutsche Vor- 
ratsspeicherung von Telekommunika- 
tionsdaten mit dem Europarecht ver- 
einbar ist (6 C 12.18 u. a). Die Vorrats- 
datenspeicherung erlaubt es Strafver- 
folgqungsbehörden, auf Internet- und 
Telefondaten zuzugreifen, die private 
Telekommunikationsanbieter zu diesem 
Zweck auf Vorrat bereithalten müssen. 
Geklagt hatten dagegen zwei solche 
Dienstleister. Sie wenden sich gegen 
die ihnen durch 8 113a Abs. 1i. V. m. 
& 113b Telekommunikationsgesetz 
(TKG) auferlegte Speicherpflicht. Ge- 
mäß dem im Jahr 2015 beschlossenen 
Gesetz zur „Mindestspeicherpflicht und 
Höchstspeicherdauer von Verkehrsda- 
ten” hätte die Pflicht zur Vorratsdaten- 
speicherung vom 01.07.2017 an bestan- 
den. Dochliegen die Regelungen derzeit 
auf Eis. Am 21.12.2016 hatte der EuGH 
in Bezug auf Regelungen in Schweden 
und Großbritannien geurteilt, dass eine 
allgemeine und anlasslose Speicherung 
von Daten unzulässig ist. Ihr stehe die 
Telekommunikations-Datenschutz- 
richtlinie und die EU-Grundrechtechar- 
ta entgegen. Ausnahmen wurden den 
Mitgliedstaaten nur zur Bekämpfung 
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schwerer Straftaten erlaubt. Schon die 
Speicherung sei auf das unbedingt Not- 
wendige zu begrenzen, der Zugang der 
Sicherheitsbehörden in den Ausnah- 
mefällen von einer gerichtlichen Kon- 
trolle abhängig zu machen (C-203/15, 
C-698/15, DANA 2017, 60 f.). 

Daraufhin stellte das Oberverwal- 
tungsgericht Nordrhein-Westfalen die 
Speicherpflicht mit Beschluss vom 
22.06.2017 in Bezug auf den Inter- 
netprovider SpaceNet AG in Frage (13 
B 238/17, DANA 2017, 177 £.). Im An- 
schluss an diese Entscheidung setzte 
die zuständige Bundesnetzagentur die 
Pflicht für Telekommunikationsanbieter 
generell aus. Das Verwaltungsgericht 
(VG) Köln befreite daraufhin die Deut- 
sche Telekom mit Urteil vom 20.04.2018 
von der Speicherpflicht (9K 741/17) und 
ließ wegen grundsätzlicher Bedeutung 
die Sprungrevision zum BVerwG zu. 

Das BVerwG möchte nun vor allem 
klären, ob die deutschen Regelungen 
den britischen und schwedischen so 
ähnlich sind, dass sich die Aussagen des 
EuGH übertragen lassen. Daran haben 
die Leipziger Richter offenbar Zweifel. 
So ist der Kreis der von der Speicher- 
pflicht erfassten Kommunikationsmittel 
und die Speicherdauer gegenüber den 
schwedischen und britischen Regelun- 
gen in der deutschen Variante redu- 
ziert. Nach deutschem Recht werden 
nur Verbindungsdaten, nicht aber Daten 
über aufgerufene Internetseiten gespei- 
chert. Ferner enthalten die deutschen 
Regelungen strengere Beschränkungen 
für den Schutz der gespeicherten Daten. 

Angesichts des mit den neuen Tele- 
kommunikationsmitteln verbundenen 
spezifischen Gefahrenpotenzials be- 
stehe ein Spannungsverhältnis zwi- 
schen den in den Art. 7 und 8 Grund- 
rechtecharta verankerten Grundrechten 
auf Achtung der Privatsphäre sowie auf 
Schutz personenbezogener Daten ei- 
nerseits und der aus Art. 6 der Charta 
folgenden Pflicht der Mitgliedstaaten 
andererseits, die Sicherheit ihrer Bürger 
zu gewährleisten. Ein ausnahmsloses 
Verbot der anlasslosen Vorratsdaten- 
speicherung würde den nationalen Ge- 
setzgeber auf dem Gebiet der Strafver- 
folgung und der Gewährleistung der 
öffentlichen Sicherheit - was zu den 
Kernkompetenzen der Nationalstaaten 
gehört - erheblich einschränken. 


Dieses Argument hatte auch die briti- 
sche Regierung für ihre Geheimdienste 
in einem weiteren Vorratsdatenspei- 
cher-Verfahren vor dem EuGH Anfang 
September 2019 vorgebracht. Sie mein- 
te, dass sich auch aus der neueren 
Rechtsprechung des Europäischen Ge- 
richtshofs für Menschenrechte (EGMR) 
zu Art. 8 der Menschenrechtskonven- 
tion Anhaltspunkte ergeben, die pro 
Sicherheitskompetenzen der National- 
staaten streiten. Das BVerwG bezwei- 
felte nun in seinem Beschluss, dass die 
Grundsatzentscheidung des EuGH 2016 
als ein generelles Verbot der anlasslosen 
Vorratsdatenspeicherung in Europa ver- 
standen werden muss. Möglicherweise 
komme es für Ausnahmen auch auf die 
Erheblichkeit der zu bekämpfenden Ge- 
fahren an sowie auf eine angemessene 
„Kompensation“ durch restriktiven Zu- 
griff und hohe Sicherheitsanforderun- 
gen. Die Wiedereinführung der Vorrats- 
datenspeicherung könnte also allein 
von ihrer Ausgestaltung abhängen. 

Sicherheitspolitiker und Polizeibe- 
hörden fordern immer wieder die Spei- 
cherung von Verbindungsdaten, um 
etwa Terroranschläge verhindern oder 
Kinderpornografie bekämpfen zu kön- 
nen. KritikerInnen halten die massiven 
Grundrechtseingriffe dagegen für illegal 
und bezweifeln den Nutzen. Oliver Süme, 
Vorstand des Verbandes der deutschen 
Internetwirtschaft (eco), meinte: „Wir 
sind überzeugt, dass wir damit nicht ein 
Mehr an Sicherheit erreichen würden.” 
Es gebe mildere Mittel - etwa in konkre- 
ten Verdachtsfällen die Daten sichern zu 
lassen. Der stellvertretende FDP-Frakti- 
onsvorsitzende Stephan Thomae hofft: 
„Jetzt wird endlich der Europäische 
Gerichtshof Klarheit schaffen und über 
die Zulässigkeit der Vorratsdatenspei- 
cherung in Deutschland abschließend 
entscheiden.” Schon die bisherige EuGH- 
Rechtsprechung hätte die Bundesregie- 
rung seines Erachtens veranlassen müs- 
sen, Alternativen zu suchen. „Denkbar 
wäre eine anlassbezogene, begrenzte 
Speicherung von Telekommunikations- 
daten zur Aufklärung von Straftaten oder 
Abwehr konkreter Gefahren, das soge- 
nannte Quick-Freeze-Verfahren.” 

Auch beim Bundesverfassungsgericht 
(BVerfG) liegen Beschwerden gegen die 
Vorratsdatenspeicherung. Es wies die 
Beschwerdeführer bereits Anfang 2018 
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darauf hin, dass es für das juristische 
Schicksal der Vorratsdatenspeicherung 
neben dem Grundgesetz als Maßstab 
insbesondere auf die Vorgaben aus 
der Rechtsprechung des EuGH ankom- 
men dürfte. Im Entscheidungsplan des 
BVerfG ist die Vorratsdatenspeicherung 
für 2019 noch angesetzt, wobei unklar 
bleibt, ob das BVerfG dann eine Ent- 
scheidung in der Sache treffen wird. 
Derweil suchen ungeachtet des 
rechtlichen Schicksals der bisherigen 
Modelle die Justizminister auf europä- 
ischer Ebene bereits nach einer neuen 
tragfähigen europäischen Regelung 
und haben die EU-Kommission in Brüs- 
sel beauftragt, eine Lösung zu suchen. 
Bis Ende 2019 soll dazu eine „umfas- 
sende Studie” vorgelegt werden. Die 
Idee geht dahin, statt eine pauschale 
Speicherpflicht vorzusehen spezifische 
Daten aufzulisten, deren Speicherung 
sich Strafverfolger von den Anbietern 
wünschen können. Neben den klassi- 
schen Providern könnten dann nach 
den Plänen auch Social-Media-Anbie- 
ter wie z.B. Facebook zur Speicherung 
auf Vorrat verpflichtet werden (Sehl, 
Alle Augen auf Luxemburg, www.lto.de 
25.09.2019; Janisch, Datenspeicherung 
nach Luxemburg, SZ 26.09.2019, 5). 


BVerwG 


Polizei-Kennzeichnungs- 
pflicht ist rechtens 


Das Bundesverwaltungsgericht 
(BVerwG) in Leipzig hat mit Urteil vom 
26.09.2019 festgestellt, dass die Kenn- 
zeichnungspflicht für PolizeibeamtIn- 
nen, wie sie in mehr als der Hälfte der 
Bundesländer existiert, verfassungs- 
gemäß ist (2 C 32.18 u. a.). Es billigte 
in einem Grundsatzurteil das Polizei- 
gesetz des Landes Brandenburg, das 
den BeamtInnen seit 2013 vorschreibt, 
ein Schild mit ihrem Nachnamen an der 
Uniform zu tragen. In geschlossenen 
Einheiten - sogenannten Hundertschaf- 
ten - gilt eine modifizierte Regelung: Es 
besteht die Pflicht, lediglich Nummern 
zu tragen, die eine spätere Identifizie- 
rung ermöglichen. Geklagt hatten ein 
Polizeihauptmeister und eine Polizei- 
obermeisterin. Sie sahen sich in ihrem 
Recht aufinformationelle Selbstbestim- 
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mung verletzt, weil ihre Identifizierbar- 
keit die Gefahr erhöhe, dass sie privat 
ausgespäht und belästigt werden könn- 
ten. Die Gewerkschaft der Polizei (GdP) 
hat die Klagen unterstützt. Sie sieht in 
den Namens- und Nummernschildern 
einen Ausdruck des Misstrauens gegen 
die Polizei. 

Das BVerwG hält die Kennzeichnung 
für gerechtfertigt, weil sie Bürgernä- 
he und Transparenz der Polizeiarbeit 
stärke. Zudem stuft sie die Identifi- 
zierbarkeit von BeamtInnen als eine 
Maßnahme gegen Polizeigewalt ein. 
Sie gewährleiste „die leichtere Aufklär- 
barkeit etwaiger Straftaten oder nicht 
unerheblicher Dienstpflichtverletzun- 
gen von Polizeivollzugsbeamten und 
beugt damit solchen vor”. Ein aktuelles 
Forschungsprojekt des Bochumer Kri- 
minologen Tobias Singelnstein ergab, 
dass Polizeigewalt kaum strafrechtlich 
verfolgt wird. Das BVerwG sieht in der 
Kennzeichnung auch einen gewissen 
Schutz für rechtmäßig handelnde Po- 
lizistInnen, die von Ermittlungen ver- 
schont bleiben, wenn sich eine Straf- 
anzeige gleich an die richtige Adresse 
richtet. 

Da die Argumente überall weitge- 
hend gleich gelagert sind, lässt sich 
das zu Brandenburg gefällte Urteil auf 
die Mehrheit der Regelungen in den an- 
deren Bundesländern übertragen. Mit 
seinen Namensschildern geht Branden- 
burg weiter als manch andere Länder, in 
denen lediglich Nummern ausgegeben 
werden. Etwas anderes gilt möglicher- 
weise für Schleswig-Holstein, wo die 
Kennzeichnungspflicht durch einen 
ministeriellen Erlass eingeführt wur- 
de. Das BVerwG betonte, dass in Bran- 
denburg eine „hinreichend bestimmte 
gesetzliche Grundlage” besteht. Der 
Gesetzgeber habe die wesentlichen Ent- 
scheidungen „nach einer parlamentari- 
schen Debatte selbst getroffen“. 

Es gibt in Deutschland weiterhin Län- 
der ohne Kennzeichnungspflicht, so 
Bayern, Baden-Württemberg und Nord- 
rhein-Westfalen. Das Urteil des BVerwG 
bestätigt, dass ein Gesetz, nach dem 
PolizistInnen identifizierbar sind, ge- 
mäß dem Grundgesetz erlaubt ist, ver- 
pflichtet aber nicht dazu, ein solches 
Gesetz einzuführen (Janisch, Polizis- 
ten müssen Kennzeichnung tragen, SZ 
27.09.2019, 1). 


BVerwG 


BND zu Presseauskünften 
über exklusive Presseter- 
mine verpflichtet 


Der Bundesnachrichtendienst (BND) 
darf gemäß einem Urteil des Bundes- 
verwaltungsgerichts (BVerwG) vom 
18.09.2019 nicht länger ein Geheimnis 
daraus machen, wann, wo und wie oft er 
ausgewählte JournalistInnen zu Hinter- 
grundgesprächen einlädt (BVerwG 6 A 
7.18). Die Richter gaben in Leipzig einer 
Klage des rechtspolitischen Korrespon- 
denten des Berliner Tagesspiegels, Jost 
Müller-Neuhof, größtenteils Recht. 

Seit 2013 betreibt der BND eine Form 
von Öffentlichkeitsarbeit und Image- 
pflege: Er lädt JournalistInnen ein und 
unterrichtet sie über Einschätzungen 
des Geheimdienstes. Die Einladenden 
müssen sich zuvor zu Stillschweigen 
verpflichten. BND-Sprecher Martin Hei- 
nemann erklärte vor Gericht, die Tref- 
fen dienten dazu, die Recherchen von 
Medien zu ergänzen oder neue Ansät- 
ze zu liefern. Zwar verrate der Dienst, 
gemäß dem Vortrag des BND-Anwalts 
Wolfram Hertel, bei solchen Runden mit 
jeweils etwa 30 JournalistInnen keine 
Geheimnisse. Es könne jedoch zu diplo- 
matischen Verwicklungen führen, wenn 
der Dienst öffentlich als Quelle der Ein- 
schätzung im Ausland bekannt werde. 

Zumindest die Umstände dieser Tref- 
fen und die besprochenen Themen muss 
der BND gemäß dem Urteil transparent 
machen. Der Dienst habe kein „schutz- 
würdiges öffentliches Interesse”, solche 
Daten geheimzuhalten. Die Aufgaben- 
erfüllung des BND sei nicht in Gefahr, 
wenn bekannt werde, wer eingeladen 
wurde und an welchen Treffen auch der 
Präsident des BND, Bruno Kahl, teilge- 
nommen habe. Es sei „nicht ersichtlich”, 
wie ein Bekanntwerden der bloßen The- 
men, also nicht der konkreten Inhalte, 
die Arbeit des BND gefährden würde. 
Auch auf die Privatsphäre der eingela- 
denen Journalisten bzw. deren informa- 
tionelle Selbstbestimmung könne sich 
der BND nicht berufen. Das öffentliche 
Aufklärungsinteresse im Hinblick auf 
die Beziehungen zwischen Nachrich- 
tendienst und Presse wiege schwerer. 
Der Kläger Müller-Neuhof selbst war 
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vom BND nicht eingeladen worden und 
hatte dies auch nicht verlangt, er wollte 
nur die Auskünfte. Der BND erklärte, er 
nehme die Entscheidung des Gerichts 
„mit Respekt zur Kenntnis”. In einigen 
Punkten hat sich der BND auch durch- 
gesetzt. So muss er weiter keine Aus- 
kunft darüber geben, ob und wie er das 
Bundeskanzleramt über den Putschver- 
such in der Türkei im Juli 2016 infor- 
mierte (Steinke, Keine Geheimnisse, SZ 
19.05.2019, 25). 


OLG Düsseldorf 


Facebook darf trotz Kartell- 
rechtsklage weiter Daten 
sammeln 


Das Oberlandesgericht (OLG) Düssel- 
dorf meldete mit einem Beschluss vom 
26.08.2019 im Rahmen einer „bloß 
summarischen“ Prüfung „ernstliche 
Zweifel” an der Rechtmäßigkeit des 
weltweit beachteten Vorgehens des 
deutschen Bundeskartellamtes gegen 
Facebook an. Auf Antrag des Daten- 
konzerns setzte das Gericht vorerst die 
Vollziehbarkeit des kartellrechtlichen 
Verbots aus und sparte dabei nicht mit 
Kritik an den Kartellwächtern (Az. VI- 
Kart 1/19(V)). Im Februar 2019 hatte 
das Bundeskartellamt mit Blick auf Fa- 
cebooks umfangreiche Datensammlung 
unter großem Medienecho entschieden, 
dass der Datenkonzern seine marktbe- 
herrschende Stellung als Soziales Netz- 
werk ausnutze und NutzerInnen unfaire 
Konditionen auferlege. Im Kern ging es 
dabei um die Zusammenführung von 
Daten aus Facebook, Instagram, Whats- 
App und anderen Quellen, etwa Websei- 
ten, die einen Like-Button anbieten. 
NutzerInnen hätten keine Wahl, ob sie 
dem zustimmen oder nicht zustimmen. 
Kartellamtspräsident Andreas Mundt 
verordnete dem Konzern eine „innere 
Entflechtung“”, bei der Daten aus unter- 
schiedlichen Quellen nur noch dann zu- 
sammengeführt werden dürften, wenn 
NutzerInnen informiert seien und echte 
Entscheidungsfreiheit hatten. Mit dem 
Verfahren gegen Facebook wollte Mundt 
„kartellrechtliche Leitplanken in die In- 
ternetökonomie einziehen“. 

Die Aufsichtsbehörde hatte Facebook 
bis zu zwölf Monate Zeit gegeben, die 
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Maßnahmen umzusetzen. Dagegen 
wehrte sich der Datenkonzern vor dem 
OLG und kann nun einen Teilerfolg fei- 
ern: Die Frist bleibt ausgesetzt, bis das 
Verfahren entschieden ist. Zudem äu- 
ßerte das OLG in seiner 37-seitigen Be- 
gründung „ernstliche Zweifel” an dem 
gesamten Verfahren gegen Facebook. 
Die Entscheidung des Kartellamtes war 
in Politik und Medien auf breite Zu- 
stimmung gestoßen; von JuristInnen 
wurde aber kritisiert, hier würden Da- 
tenschutz- und Kartellrecht unzulässig 
vermischt. Dem schloss sich der erste 
Kartellsenat an: Selbst wenn die be- 
anstandete Datenverarbeitung gegen 
Datenschutzbestimmungen verstoße, 
liege darin nicht zugleich ein Verstoß 
gegen das Wettbewerbsrecht. Die Ver- 
braucherInnen würden durch die Da- 
tensammlung wirtschaftlich nicht ge- 
schwächt, denn sie würden ihre Daten 
bei Facebook ja nicht verlieren. Anders 
als bei einem klassischen Nutzungs- 
entgelt wären Daten duplizierbar. Das 
Kartellamt habe auch nicht ausreichend 
nachgewiesen, dass Facebook aktuelle 
oder potenzielle Wettbewerber behin- 
dern würde. 

Das OLG bezweifelt sogar, dass über- 
haupt Datenschutzverstöße vorliegen. 
Da die NutzerInnen den Nutzungsbe- 
dingungen von Facebook vor der An- 
meldung zustimmen würden, könne von 
einem „Kontrollverlust”, wie ihn das 
Kartellamt festgestellt hatte, nicht die 
Rede sein. Die Datenverarbeitung erfol- 
ge vielmehr mit „Wissen und Wollen” der 
NutzerInnen. Dass es für VerbraucherIn- 
nen sehr wohl einen Nachteil bedeuten 
kann, wenn Konzerne über ihre Daten 
verfügen und damit Verhaltensprogno- 
sen anstellen und kommerzielle Wer- 
bung schalten, wird vom OLG ebenso 
ignoriert wie die Tatsache, dass heute 
große Teile von sozialem Leben und po- 
litischer Öffentlichkeit digital vermittelt 
werden und dabei Facebook, Instagram 
und WhatsApp eine marktdominierende 
Position erlangt haben. 

Der Direktor des Instituts für Kartell- 
recht an der Heinrich-Heine-Universität 
Düsseldorf, Rupprecht Podszun, erklär- 
te zu dem Beschluss: „Wenn man ehrlich 
ist, ist das Verfahren mit der heutigen 
Entscheidung tot.” Tatsächlich wird das 
Verfahren des Kartellamts gegen Face- 
book mit dem Beschluss voraussichtlich 


um Monate bis Jahre verzögert. Wie das 
Hauptsacheverfahren bei dem OLG aus- 
gehen wird, ist nach der eindeutigen 
aktuellen Entscheidung absehbar. Die 
Hoffnung liegt nun beim Bundesge- 
richtshof (BGH), bei dem das Kartellamt 
Beschwerde einlegt. Möglicherweise 
wird zudem der Europäische Gerichts- 
hof angerufen. Podszun kommentierte: 
„selbst wenn das Kartellamt in einigen 
Jahren in letzter Instanz Recht be- 
kommen sollte, hat sich die Situation 
bei den sozialen Netzwerken ja schon 
wieder stark weitergedreht. Dann ist 
eine Entscheidung von 2019, der schon 
dreijährige Ermittlungen vorausge- 
gangen sind, nur noch ein historisches 
Kuriosum.” Kurz vor der Entscheidung 
des Kartellamtes hatte Mark Zuckerberg 
angekündigt, man werde die unter- 
schiedlichen Dienste seines Konzerns 
zusammenführen. Facebook, WhatsApp 
und Instagram würden für Endverbrau- 
cherInnen zwar immer noch unter- 
schiedliche Anwendungen darstellen, 
aber auf einer gemeinsamen Infrastruk- 
tur laufen. Eine „innere Entflechtung” 
auf Ebene der Daten, wie dem Kartell- 
amt vorschwebt, wäre dann kaum noch 
möglich. 

Datenschutzbehörden haben mit der 
Datenschutzgrundverordnung (DSGVO) 
zwar einige rechtliche Möglichkeiten 
zum Handeln, doch fehlen ihnen die 
Ressourcen, um den Muskelspielen der 
Industrie etwas entgegenzusetzen. Für 
die wichtige Rolle, die ihnen laut DSGVO 
beider Durchsetzung des Datenschutzes 
zusteht, bräuchten sie mehr Geld, mehr 
Personal und mehr technisches Know- 
how. Zudem müssen sich die Behörden 
bei Verfahren gegen internationale 
Konzerne nicht nur innereuropäisch ei- 
nigen, sondern es dauert auch Jahre, bis 
die juristischen Auseinandersetzungen 
um Auslegungsfragen beigelegt sind. 
Den Kartellwächtern wiederum fehlen 
offenbar weiterhin eindeutige rechtli- 
che Grundlagen. Dass OLG ging die vom 
Kartellamt vorgenommene Übertragung 
des wettbewerbsrechtlichen Rechtsrah- 
mens aus dem analogen in das digitale 
Zeitalter nicht mit. Deshalb bleibt es 
auf der Tagesordnung, dass eine Exper- 
tenkommission im Auftrag der Bundes- 
regierung Vorschläge macht, wie das 
Wettbewerbsrecht an die Bedingungen 
der digitalen Gesellschaft angepasst 
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werden kann (Dachwitz, Kartellamt 
gegen Facebook: Das OLG Düsseldorf 
schaut mit dem Tunnelblick auf die Da- 
tenfrage, netzpolitik.org 26.08.2019; 
Müller, Facbeook darf weiter sammeln, 
SZ 27.08.2019). 


LG Dresden 


Unterlassungsanspruch 
gegen Webseitenbetreiber 
wegen Google-Analytics- 
Einsatz 


Das Landgericht (LG) Dresden hat mit 
Urteil vom 11.01.2019 entschieden, 
dass der Einsatz von Google Analytics 
ohne Aktivierung von anonymizelP un- 
zulässig ist und Unterlassungs-, Aus- 
kunfts- und Schadenersatzansprüche 
der betroffenen Person nach sich zieht 
(Az. 1a 0 1582/18). Der Kläger, eine na- 
türliche Person und einfacher Verbrau- 
cher, hat die Beklagte, die Betreiberin 
eines Internetportals, wegen Unter- 
lassung, Auskunft sowie Freistellung 
von vorgerichtlichen Anwaltskosten 
in Anspruch genommen. Der Klage lag 
zugrunde, dass die Beklagte die perso- 
nenbezogenen Daten des Klägers und 
insbesondere seine IP-Adresse beim 
Aufruf der Internetseite der Beklagten 
durch den Einsatz von Google Analytics 
(GA) ohne Zustimmung des Klägers an 
Server von Google in den USA übermit- 
telt hatte, und zwar ohne sich hierbei 
der Funktion anonymizelP zu bedienen. 
AnonymizelP verschleiert das letzte Ok- 
tett einer IP-Adresse und soll so eine 
Anonymisierung gewährleisten. 

Das LG hat die geltend gemachten 
Ansprüche des Klägers, insbesondere 
den Unterlassungsanspruch, mit ei- 
ner Verletzung des allgemeinen Per- 
sönlichkeitsrechts (APR), also mit den 
88 823 Abs. 1 i.V.m. 1004 BGB analog 
begründet. Der Verweis auf das TMG, die 
DSGVO und das alte BDSG beschränkten 
sich darauf, dass keine wirksame Ein- 
willigung erteilt worden sei und dass 
das Datenschutzrecht auch das APR zu 
schützen angetreten sei. Eine in den All- 
gemeinen Geschäftsbedingungen (AGB) 
versteckte Einwilligung akzeptierte das 
LGnicht, daes an „einer bewussten und 
eindeutigen Handlung des Nutzers” 
fehlte. Das Gericht sieht in einer Über- 
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mittlung der GA-Daten an Google eine 
hinreichende „Schwere des Eingriffs”. 
Bzgl. des Auskunftsanspruchs wurde 
auf 8 13 Abs. 8 TMG Bezug genommen. 
Ob durch den Einsatz von anonymizelP 
tatsächlich eine Anonymisierung statt- 
findet, wurde vom Gericht unterstellt 
und nicht weiter hinterfragt. 
Interessant sind auch die Ausführun- 
gen des Gerichts zu der erfolgten „Ver- 
braucherabmahnung“. Der Kläger hatte 
gezielt mit technischen Mitteln nach 
Webseiten gesucht, auf denen Analyse- 
tools ohne Verschleierung der IP ein- 
gesetzt werden. Darin sieht das Gericht 
kein rechtsmissbräuchliches Verhalten 
1.S.v. 8 242 BGB. Es sei dem Kläger mit 
seiner Abmahnung nicht um Geld ge- 
gangen, was dadurch zu sehen sei, dass 
er kostenfrei eine Mail versendet hatte, 
in der er eine strafbewehrte Unterlas- 
sungserklärung eingefordert hat und 
auch im Prozess nur die Anwaltskosten 
erstattet bekommen wollte. Auch inte- 
ressant ist, wie das LG das Beklagtenar- 
gument zurückgewiesen hat, der Kläger 
hätte mit Maßnahmen des Selbstschut- 
zes verhindern können, dass seine IP 
über die Webseite bei Google landet: 
Dies widerspräche „dem Zweck des Da- 
tenschutzrechts”: „Eine Verpflichtung 
dem Verletzten aufzuerlegen, sich vor 
einer vermuteten Rechtsverletzung 
selbst durch Vorkehrungen zu schützen, 
um eine tatsächliche Rechtsverletzung 
zu verhindern, widerspricht den vorge- 
nannten Grundsätzen des Datenschut- 
zes”. Das Urteil des LG ist rechtskräftig. 


Landesgericht 
Feldkirch/Österreich 


Immaterieller Schadener- 
satz wegen illegaler Spei- 
cherung über Parteiaffini- 
täten 


Auf die Klage des Vorarlberger An- 
walts Christian Wirthensohn wurde 
die Österreichische Post wegen der 
Speicherung sogenannter Parteiaf- 
finitäten auf Schadenersatz gemäß 
Art. 82 Datenschutz-Grundverordnung 
(DSGVO) vom Landesgericht Feldkirch 
zur Zahlung von 800 Euro verurteilt 
(Gz. 57 Cg 30/19b). Mehr als ein halbes 


Jahr zuvor hatte die Plattform Adden- 
dum in einem Bericht aufgedeckt, dass 
die Post sog. Parteiaffinitäten von Mil- 
lionen KundInnen berechnet und spei- 
chert. Die Kundendaten wurden mit 
Präferenzen zu einer möglichen Partei- 
nähe erweitert und an wahlwerbende 
Parteien verkauft. Als die Datenschutz- 
behörde feststellte, dass die Post diese 
sensiblen Daten nicht hätte speichern 
und schon gar nicht verkaufen dürfen, 
kündigte das Unternehmen an, sen- 
sible Daten zur politischen Meinung 
aus ihren Datensätzen zu löschen. 
Betroffen von der Speicherung waren 
insgesamt rund 2,2 Millionen Österrei- 
cherInnen, einer davon der klagende 
Anwalt. 

Da die Post bestritt, dass es sich bei 
den Parteiaffinitäten um sogenannte 
sensible, also besonders zu schützende 
Daten handle, verklagte der Anwalt die 
Post im März 2019 auf immateriellen 
Schadenersatz über 2.500 Euro: „Wenn 
ich weiß, dass meine Rechte bewusst 
verletzt werden und damit auch noch 
Geld gemacht wird, dann lasse ich mir 
das nicht weiter gefallen.” Anfang Juli 
2019 wurde der Fall am Landesgericht 
Feldkirch verhandelt. Dem Betroffenen 
wurde Recht gegeben und vom Gericht 
800 € immaterieller Schadenersatz zu- 
erkannt. 

„Die Tatsache, dass die beklagte Partei 
[Anm.: die Post] Parteiaffinitäten des 
Klägers ohne dessen Einwilligung und In- 
formation ermittelt und gespeichert hat, 
rechtfertigt einen immateriellen Scha- 
denersatz. In Anbetracht der Tatsache, 
dass es sich einerseits bei der politischen 
Meinung einer Person um besonders 
schützenswerte und sensible Daten han- 
delt, andererseits die von der beklagten 
Partei gespeicherten Parteiaffinitäten 
des Klägers feststellungsmäßig nicht an 
Dritte übermittelt wurden, erscheint ein 
Betrag in Höhe von EUR 800,- zur Abgel- 
tung des vom Kläger erlittenen immateri- 
ellen Ungemachs angemessen. ... 

Aus Sicht des Gerichts handelt es sich 
bei den von der beklagten Partei mittels 
Marketinganalyseverfahren ermittelten 
Affinitäten aufgrund der Tatsache, dass 
diese in weiterer Folge dem Kläger als 
Individuum zugeschrieben wurden, klar 
um sich auf eine identifizierte natürliche 
Person beziehende Informationen [sic], 
sohin um personenbezogene Daten. ... 
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Auch die Frage, ob die Parteiaffinitäten 
unter die besonderen Kategorien perso- 
nenbezogener Daten fallen, ist aus Sicht 
des Gerichts klar zu bejahen, da es sich 
um Abbildungen politischer Meinungen 
handelt.“ 

Sowohl der klagende Anwalt als auch 
die Post haben angekündigt, gegen das 
Urteil Berufung einzulegen (das rechts- 


Wawrzyniak, Jessica 

#Kids #Digital #Genial - Schütze dich 
und deine Daten 

Art d’ Ameublement, Bielefeld, 2018 
ISBN 978-3-934636-17-0, 66 S., 
Einzelpreis versandkostenfrei 2,45 € 


(tw) Das von digitalcourage heraus- 
gegebene Büchlein, das auch als Klas- 
sensatz versendet wird, wendet sich als 
„Das Lexikon von Apps bis .ZIP“ an älte- 
re Kinder und Jugendliche und versucht 
diesen das Thema Datenschutz näher zu 
bringen, ohne die eingesetzte Technik 
zu verteufeln. In einfacher Sprache wer- 
den zunächst Fragen zum Datenschutz 
beantwortet: Was sind private Daten, 
wieso sind diese Privatsache, wer sam- 
melt diese, was steckt hinter der Daten- 
sammelei? Dann erläutert das Heftchen 
aus Datenschutzsicht über 100 Begrif- 
fe, gibt - nett illustriert - Tipps zum 
Umgang mit privaten Daten und Denk- 
anstöße und stellt kleine Aufgaben. 
Damit kann in der Schule das Thema 
Digitalisierung und Datenschutz behan- 
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kräftige Urteil wird dann für Anfang 
2020 erwartet). Das nicht rechtskräftige 
Urteil könnte weitreichende Folgen ha- 
ben. Betroffen waren insgesamt ca. 2,2 
Millionen Personen. Der Schadenersatz 
würde - geht man von der Argumenta- 
tion des Gerichts aus - auch allen ande- 
ren Betroffenen zustehen. Denn auch 
beiihnen wurde die Parteiaffinität ohne 


delt werden. Eine Auswahl der Begriffe: 
Blog, Browser, Cookie, Cloud, Cyberm- 
obbing, Darknet, FakeNews, Firewall, 
GPS ... Lehrkräfte erhalten mit dem 
Büchlein etwas in die Hand, das den 
Kindern einen spielerischen Zugang 
zum Thema ohne große Hemmschwellen 
ermöglicht. 


NOMOSKOMMENTAR 


Bundesarchiv- 
gesetz 


Christoph J. Partsch (Hg.), 
Bundesarchivgesetz, Handkommentar, 
Baden-Baden 2019, Nomos Verlag 


(me) Verglichen mit der Fülle an Kom- 
mentaren und Monographien, die zum 
Datenschutzrecht seit Inkrafttreten der 
DSGVO und der Novellierung des BDSG 
im Jahre 2018 erschienen sind, gibt es 
zum Bundesarchivgesetz wenig Litera- 
tur. Dieses Gesetz, im Originalwortlaut 
heißt es „Gesetz über die Nutzung und 
Sicherung von Archivgut des Bundes”, 
gilt seit 2 Jahren. Es ist verdienstvoll, 
dass der Nomos Verlag mit dem vorge- 


ihr Zutun abgespeichert. Und der Scha- 
denersatz könnte durchaus noch hö- 
her ausfallen, wenn - im Gegensatz zu 
diesem Fall - die sensiblen Daten auch 
noch - etwa an Parteien für Wahlwer- 
bung - weiterverkauft wurden (Mayr- 
hofer, Post-Daten: Überraschendes Ur- 
teilnach Klage aufSchadenersatz, www. 
addendum.org, 16.08.2019). 


Buchbesprechungen 


legten Werk eine Lücke geschlossen 
hat. Verdienstvoll ist auch, dass diese 
Leistung von namhaften Experten auf 
dem Gebiet des Archiv- , Medien- und 
Informationszugangsrechts (Christoph 
J. Partsch als Herausgeber sowie Axel 
Mütze, Norman Koschmieder und Sven 
Berger) erbracht wurde. Wenn vereinzelt 
Kritik daran geäußert wird, dass kein 
Archivar mitgewirkt habe, so schmälert 
das nicht die Qualität der juristischen 
Darstellung, wenngleich zuzugeben ist, 
dass die Sichtweise des im Archiv Tä- 
tigen in der einen oder anderen Frage 
eine interessante Bereicherung darge- 
stellt hätte. 

Die Handkommentare des Nomos Ver- 
lages sind im wesentlichen Praktiker- 
kommentare. So ist es auch hier: Der 
Kommentar zum Bundesarchivgesetz 
wird sich gut eignen für die Arbeitin der 
Praxis. Die gesetzlichen Erläuterungen 
sind durchweg verständlich geschrie- 
ben, so dass auch Nichtjuristen in der 
Lage sein werden, sich schnell einzule- 
sen und Orientierung zu finden. Abge- 
sehen vom Abdruck der Archivgesetze 
und Archivbenutzungsordnungen aller 
Bundesländer findet sich in dem Band 
ferner das Sicherheitsüberprüfungs- 
gesetz, ein Benutzungsantrag für das 
Bundesarchiv und anderes. Besonders 
zu erwähnen ist der Gesetzentwurf zum 
Bundesarchivgesetz mit Begründung 
(Bundestags-Drucksache 18/9631). Die 
vollständige Aufnahme der Erwägungen 
des Gesetzgebers in den Band ist eine 
gute Idee, die man sich bei anderen 
Kommentaren auch wünschen würde. 
Sie erleichtert die Arbeit. 
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Besonders interessant ist die Einlei- 
tung zum Kommentar des Bundesgeset- 
zes, welche 50 Seiten im Oktavformat 
umfasst. Es wird gut herausgearbeitet, 
dass „historische Forschung ohne Ar- 
chive nicht möglich ist”. Die Funktion 
des Archivs geht nach Partschs zutref- 
fender Auffassung darüber hinaus, da es 
sich beim Archiv auch um eine „Stätte 
der demokratischen Vergewisserung 
eines Rechtsstaats” handele und der 
Zugang zu Archiven ein Menschenrecht 
darstelle. 

Die Kritik am nach herrschender 
Meinung zutreffenden normgeprägten 
Zugangsanspruch zu Archivalien, for- 
muliert unter Verweis auf das unhisto- 
rische Verständnis von Informations- 
freiheit in der deutschen Geschichte, 
überzeugt nicht. Eine wesentliche 
Handlungsform des Rechtsstaates sind 
generell-abstrakte Gesetze, auf deren 
Grundlage das Handeln der öffentli- 
chen Gewalt bestimmt wird. Außerdem 
wurde die erwähnte „seit 1804 in den 
U.S.A. bekannte Informationsfreiheit” 
erst im Jahr 1967 zu einem gesetzli- 
chen Anspruch im Freedom of Informa- 
tion Act. 

Insgesamt ist der historische Abriss 
lesenswert; auch die Übersicht über div. 
Informationszugangsgesetze (Verbrau- 
cherinformationsgesetz, Umweltinfor- 
mationsgesetz, Geodatenzugangsge- 
setz, u.a.) ist gelungen. Ein Gleiches gilt 
für den Überblick über internationale 
Entwicklungen. 

Die Darstellung datenschutzrecht- 
licher Aspekte der Archivierung von 
amtlichen Unterlagen bedarf einer brei- 
teren Diskussion. Bekanntlich steht der 
Zugang zu Archiven und zu amtlichen 
Informationen zum Datenschutz in 
einem Spannungsverhältnis, das in ei- 
ner differenzierteren Betrachtung aus- 
buchstabiert werden sollte. Zukünftige 
Rechtsprechung und Rechtsanwendung 
werden den Weg weisen. Die nicht be- 
legte Behauptung des Herausgebers, 
dass „der Zugang zu Archivgut bis heu- 
te durch den Datenschutz stark und 
überbordend eingeschränkt” werde, 
kann die Diskussion eröffnen. Dass die 
Schutzfristen des Bundesarchivgeset- 
zes dem „Spannungsverhältnis zwischen 
Forschungsfreiheit und Datenschutz” in 
ausreichender Weise Rechnung tragen, 
ist vertretbar. 
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Lesenswert ist schließlich die Erwäh- 
nung von zeithistorisch und juristisch 
Wichtigem, wie beispielsweise dasin der 
Mephisto-Entscheidung des Bundesver- 
fassungsgerichts betrachtete postmor- 
tale Persönlichkeitsrecht, die Nutzung 
von Unterlagen der Geheimdienste 
durch die Öffentlichkeit (NS, NSU) so- 
wie die Reaktion des Gesetzgebers auf 
Desinformation („fake news”) durch 
das Gesetz zur Verbesserung der Rechts- 
durchsetzung in sozialen Netzwerken 
und die Bedeutung des Rechts auf In- 
formations- bzw. Archivzugang zwecks 
Widerlegung von Falschmeldungen. 

Dem Kommentar zum Bundesarchivge- 
setz darfman weitere Auflagen wünschen. 


Schläger, Uwe; Thode, 
Jan-Christoph (Hrsg.) 
Handbuch Datenschutz und 
IT-Sicherheit 

2018, 1. Auflage, 662 Seiten, 
ISBN 978-3-503-17727-1, 94,- € 


(wh) Dieses Buch soll Recht und IT 
systematisch verbinden und ein Buch 
sein, das juristische und IT-sicher- 
heitsrelevante Fragen erstmals konse- 
quent verknüpft. Mit Dr. Uwe Schläger, 
der nicht nur einer der beiden Heraus- 
geber ist, sondern auch den „Teil G: 
Rechtliche Grundlagen der Informa- 
tionssicherheit” und Abschnitte von 
„Teil I: Technische und organisatori- 
sche Maßnahmen” zu verantworten 
hat, ist ein Datenschützer an Bord, der 
insbesondere im Bereich des techni- 
schen Datenschutzes über umfassende, 
langjährige Erfahrungen verfügt. 

Der „Teil A: Datenschutzrechtliche 
Grundlagen” gibt mit 90 Seiten einen 
kompakten aber gleichwohl umfassen- 


den Überblick über die Entwicklung 
des Datenschutzes und das aktuelle Da- 
tenschutzrecht in Deutschland, Europa 
und anderswo. Die folgenden TeileB bis 
F arbeiten die in Unternehmen relevan- 
ten Datenschutzthemen ab. Da geht es 
von Datenschutzmanagement über die 
Verarbeitung von Beschäftigtendaten 
sowie Kundendaten weiter zur Daten- 
verarbeitung im Inter- und Intranet 
zur Videoüberwachung. Diese ca. 380 
Seiten sind thematisch gut strukturiert 
und gehen auf die in Betrieben und Un- 
ternehmen häufig anzutreffenden Fra- 
gestellungen mit praktischen Lösungs- 
ansätzen ein. Best-Practise-Beispiele 
und Ausblicke auf künftige Entwick- 
lungen runden einzelne Abschnitte ab. 

Die Teile G bis J legen dagegen den 
Schwerpunkt auf die Informationssi- 
cherheit. Neben der EU-Datenschutz- 
Grundverordnung (DSGVO) wird bei der 
Darstellung der Rechtsgrundlagen zur 
IT-Sicherheit auf das IT-Sicherheitsge- 
setz sowie auf einschlägige bereichs- 
spezifische Gesetze, wie z.B. das Kre- 
ditwesengesetz eingegangen. Dem In- 
formationssicherheitsmanagement ist 
ein - wenn mit 20 Seiten auch nur knap- 
per - eigener Teil desWerkes gewidmet, 
der allerdings irritierenderweise mit 
dem Titel „IT-Sicherheitsmanagement” 
überschrieben ist. Der mit 76 Seiten 
etwas umfangreichere „Teil I: Techni- 
sche und organisatorische Maßnah- 
men“ lässt erwarten, dass hier nun die 
vom Verlag versprochene „konsequen- 
te Verknüpfung“ von juristischen und 
IT-sicherheitsrelevanten Fragestellun- 
gen zu finden ist. Leider wird diese 
Erwartung enttäuscht. So fehlt zum 
Beispielim Abschnitt „Behandlung von 
Sicherheitsvorfällen“ jeglicher Hinweis 
darauf, dass ein IT-Sicherheitsvorfall 
dann, wenn personenbezogene Daten 
betroffen sind, auch meist eine Daten- 
schutzverletzung darstellt, ebenso wie 
ein Verweis auf den Abschnitt „5: Mel- 
depflicht bei Datenpannen“ im „Teil B: 
Datenschutzmanagement” und umge- 
kehrt. Trotz dieser nur losen und nicht 
unbedingt systematischen Verbindung 
der sich mit dem Datenschutzrecht 
beschäftigenden Teile A bis F auf der 
einen Seite und der die Informations- 
sicherheit behandelnden Teile G bis J 
auf der anderen Seite stellt dieses Werk 
ein gutes und nützliches Hilfsmittel 
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sowohl für Datenschutzbeauftragte wie 
für IT-Sicherheits- bzw. Informations- 
sicherheitsbeauftragte dar. 


N-Recht 
Ehie 


Due TWwere 


Redeker, Helmut: 

IT-Recht 

2017, 6. Auflage, 515 Seiten, 
ISBN 978-3-406-68727-3,79,- € 


(wh) Zielgruppe dieses Werkes sind 
laut Verlag „Rechtsanwälte, insbesonde- 
re Fachanwälte für IT-Recht, Richter so- 
wie Syndikusanwälte in der IT-Branche“. 

Dass sich nur ca. 4 Seiten mit den Än- 
derungen durch die EU-Datenschutz- 
Grundverordnung (DSGVO) beschäfti- 
gen, istsicher der Tatsache geschuldet, 
dass dieses Werk in der aktuellen Aufla- 
ge bereits Anfang 2017 erschienen ist 
und die Überarbeitung laut Vorwort 
„im Wesentlichen im Juni 2016 abge- 
schlossen wurde”, also nur anderthalb 
Monate nach der Veröffentlichung der 
DSGVO im Amtsblatt der EU. Hier ist zu 
erwarten, dass die Änderungen, die 
sich durch die DSGVO ergeben haben, 
in einer eventuellen künftigen Neuauf- 
lage in den einzelnen Abschnitten, die 
sich mit dem Datenschutz beschäfti- 
gen, eingearbeitet werden. 

Suchen nun die am Datenschutz in- 
teressierten Leserinnen und Leser im 
Inhaltsverzeichnis nach ebendiesem, 
dann findet sich nur ein Abschnitt 
„9) Datenschutzanforderungen“ im 
Unterkapitel „II. Die Übermittlung von 
Willenserklärungen im Internet” des 
Kapitels „D. Rechtsprobleme von Inter- 
net und Telekommunikation“. Erwähnt 
wird, dass in datenschutzrechtlicher 
Sicht für Internet- und Telekommuni- 
kationsdienstleistungen in erster Linie 
das (alte) Bundesdatenschutzgesetz 
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(BDSG-alt), sowie die datenschutzrecht- 
lichen Normen des Telemediengesetzes 
(TMG) und des Telekommunikationsge- 
setzes (TKG) relevant sind. Direkt danach 
findet sich der Hinweis, „Für vertiefende 
Auseinandersetzungen sei auf die um- 
fangreiche Spezialliteratur verwiesen”. 
Dieser Verweis ist in der Tat wichtig 
und richtig, da der darauffolgende Satz 
„All diese Normen werden Anfang 2018 
durch [die] dann geltende europäische 
Datenschutzgrundverordnung (DSGVO)” 
ersetzt.” irritiert. Eine etwas konkretere 
Zeitangabe, wie z.B. 25. Mai 2018 statt 
„Anfang 2018” wäre hier ebenso wün- 
schenswert gewesen, wie zumindest die 
Wörter „Ein Teil dieser Normen“ anstelle 
von „All diese Normen“. 
Irritierendistauch, dassin diesem Ab- 
schnitt „Datenschutzanforderungen!“, 
der sich jaim Unterkapitel „II. Die Über- 
mittlung von Willenserklärungen im 
Internet” befindet, ganz allgemein die 
datenschutzrechtlichen Anforderungen 
im Zusammenhang mit der Erbringung 
von Internet- und Telekommunikati- 
onsdienstleistungen erörtert werden, 
die datenschutzrechtlichen Anforde- 
rungen an eine Einwilligung dagegen 
nur auf etwa anderthalb der insgesamt 
22 Seiten dieses Abschnittes dargestellt 
werden. Inhaltlich hätte es dieser Ab- 
schnitt - nach entsprechender Aktuali- 
sierung bezüglich der DSGVO - verdient 


JENS SPAHN PLANT EIN GESETZ, DAS DIE 
WEITERGABE VON PATIENTENDATEN AN 
FORSCHUNGSLABORE ERLAUBT. OHNE 
EINWILLIGUNG DER BETROFFENEN. WAS 
WIRD ER WOHL SONST NOCH PLANEN? 
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ein eigenes Unterkapitel in Kapitel D zu 
sein. Dann hätte auch der Anhang direkt 
als letzter Abschnitt dieses Unterkapi- 
tels seinen passenden Platz gehabt. In 
diesem findet sich dann überraschender 
Weise die im Großen und Ganzen weit- 
gehend richtige Aussage: „Die daten- 
schutzrechtlichen Sonderregelungen 
des TMG entfallen, nicht jedoch die des 
TKG, das auf der E-Privacy-Richtlinie 
beruht (Art. 95 DSGVO).” (besser wäre 
die Formulierung gewesen, „die auf der 
E-Privacy-Richtlinie beruhen”, da ja 
nicht das ganze TKG der Umsetzung der 
E-Privacy-Richtlinie dient. 

Im Stichwortverzeichnis finden sich 
dann noch weitere Stellen, die sich mit 
dem Datenschutz beschäftigen, so zum 
Beispiel ein Abschnitt „Datenschutz: 
insbesondere Auftragsverarbeitung” 
als Nebenpflicht zu einem Rechenzent- 
rumsvertrag. 

Der vom Verlag benannten Zielgrup- 
pe kann summa summarum empfohlen 
werden, dem Verweis des Autors auf 
die Spezialliteratur zum Thema Daten- 
schutz zu folgen. Für Datenschützerin- 
nen und Datenschützer, die sich auch 
mit Gebieten des IT-Rechts (wie recht- 
licher Schutz von Software, rechtliche 
Aspekte bei Beschaffung von Hard- und 
Software oder Produkthaftung) be- 
schäftigen müssen, stellt dieses Werk 
eine nützliche Übersicht dar. 


ABSCHAFFUNG DER ÄRTZLICHEN 
SCHWEIGEPLICHT, ZWANG ZUR 
ORGANSPENDE - WER ZWEI 
LUNGEN HAT, MUSS EINE ABGEBEN. 
UND NATÜRLICH BIOMETRISCHE 
GANZKÖRPER-ERFASSUNG. 
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CHINESISCHE GERICHTE 
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Ab 2020 wird ne das Verpflichets'Beivertungssystem für alle eingeführt. China mit seiner Totalüberwachung ist 
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